Een autonome AI-agent van securitystartup CodeWall heeft binnen twee uur volledige lees- en schrijftoegang verkregen tot het interne AI-platform van adviesbureau McKinsey. Hierdoor werden miljoenen chatberichten en honderdduizenden vertrouwelijke klantbestanden toegankelijk, wat de kwetsbaarheid van bedrijfchatbots blootlegt.

De aanval verliep volledig autonoom, van doelwitselectie tot rapportage, zonder menselijke tussenkomst. De agent maakte gebruik van publiek toegankelijke API-documentatie en ontdekte een sql-injectie-kwetsbaarheid in een endpoint dat geen authenticatie vereiste. Via deze kwetsbaarheid kreeg de agent toegang tot 46,5 miljoen chatberichten, 728.000 vertrouwelijke bestanden, 57.000 gebruikersaccounts en 95 systeemprompts die het gedrag van de AI sturen. Omdat de kwetsbaarheid zowel lees- als schrijfrechten gaf, had een aanvaller de AI-responses kunnen manipuleren zonder codewijzigingen.

CodeWall meldde de kwetsbaarheid eind februari en de volledige aanvalsketen op 1 maart. McKinsey reageerde snel door de kwetsbare endpoints te patchen, de ontwikkelomgeving offline te halen en publieke API-documentatie te blokkeren. Er is geen bewijs dat klantgegevens zijn ingezien door onbevoegden. Experts waarschuwen dat de potentiële schade veel groter had kunnen zijn, aangezien manipulatie van de AI-gedragsregels verstrekkende gevolgen had kunnen hebben voor klanten en consultants.

Volgens CodeWall-CEO Paul Price zullen aanvallers deze technologie en methoden waarschijnlijk gebruiken voor gerichte aanvallen zoals financiële chantage of ransomware. Het incident benadrukt dat autonome AI-agents niet alleen een verdedigingsmiddel zijn, maar ook een groeiende bedreiging vormen in cybersecurity.