McKinsey KI-Plattform-Schwachstelle: Unautorisierter Zugriff auf vertrauliche Daten in Stunden
Ein autonomes Werkzeug enthüllte eine kritische Schwachstelle im KI-System von McKinsey, Lilli, wodurch ohne Authentifizierung Zugriff auf Millionen interner Dokumente und KI-Konfigurationen möglich war. Der Vorfall unterstreicht die inhärenten Risiken bei der Entwicklung von KI-Lösungen für den Unternehmensbereich.
Technische Details des Sicherheitsvorfalls
Das Lilli-System ist darauf ausgelegt, interne Dokumente zu analysieren, Archive zu durchsuchen und Anfragen von McKinsey-Mitarbeitern zu verarbeiten. Monatlich verarbeitet die Plattform über 500.000 Anfragen von Zehntausenden Nutzern. Ein automatischer Testalgorithmus nutzte offene API-Dokumentationen, um mehr als 200 Endpunkte zu identifizieren. Einige davon erforderten keine Authentifizierung.
Das Kernproblem war eine SQL-Injection-Schwachstelle im Mechanismus zum Protokollieren von Suchabfragen. Während das System Parameterwerte sicher behandelte, wurden Feldnamen direkt in SQL-Befehle eingefügt. Der Algorithmus analysierte Dienstfehler, identifizierte das Schwachstellenmuster und generierte eine funktionale Abfrage zur Extraktion von Daten.
Ausmaß des Datenlecks
Sobald der initiale Zugriff hergestellt war, öffnete sich ein Pfad zu einem riesigen Repository:
- Zehnmillionen von Nachrichten aus Unternehmenschats;
- Hunderttausende von Dateien, einschließlich Präsentationen, Tabellenkalkulationen und Berichten;
- Kontodaten für Zehntausende Mitarbeiter.
Alle Materialien waren ungeschützt gespeichert. Zusätzlich wurden die Systemeinstellungen von Lilli extrahiert, die die KI-Logik definieren: Regeln zur Antwortgenerierung, Zugriffsbeschränkungen und Methoden zur Datenverarbeitung. Die Schwachstelle ermöglichte nicht nur das Lesen, sondern auch die Änderung dieser Parameter.
Potenzielle geschäftliche Konsequenzen
Die Änderung von KI-Anweisungen könnte erhebliche Risiken bergen. Die Plattform war in der Lage, verzerrte Empfehlungen auszugeben, vertrauliche Informationen preiszugeben oder Sicherheitsrichtlinien zu umgehen. Solche Manipulationen erfolgen auf Konfigurationsebene ohne Codeänderung, was die Erkennung erschwert.
Standard-Security-Scanning-Tools haben das Problem trotz bekannter SQL-Injections seit den 1990er Jahren nicht identifiziert. Dies deutet auf Lücken in Entwicklungs- und Testprozessen für KI-Systeme innerhalb großer Beratungsfirmen hin.
Wichtige Erkenntnisse
- Eine Schwachstelle in der Lilli-API ermöglichte Zugriff auf Millionen interner Dokumente ohne Passwort;
- Das KI-Verhalten kann modifiziert werden, was zu Lecks oder Falschinformationen führt;
- Der Vorfall wurde von einem autonomen Tool entdeckt; Standard-Scanner übersahen ihn;
- Unterstreicht die Notwendigkeit strikter Eingabevalidierung bei Unternehmens-KI;
- Das Risiko betrifft alle Unternehmen, die interne KI-Assistenten nutzen.
Kontext und branchenspezifische Bedeutung
KI-Plattformen wie Lilli integrieren massive Mengen an Unternehmensdaten, steigern die Produktivität, erweitern aber auch die Angriffsfläche. Die Ursachen der Schwachstelle liegen in veralteten Ansätzen zur Anfrageverarbeitung: direkte Einbettung von Parametern in SQL ohne Parametrisierung. Die Konsequenzen gehen über McKinsey hinaus – Wettbewerber wie BCG oder Bain sehen ähnlichen Risiken gegenüber, wenn KI für Client-Datenanalysen genutzt wird.
Branchenauswirkung: Erhöhte Investitionen in „Secure-by-Design“-KI. Laut Cybersicherheitsberichten sind 70 % der Unternehmensvorfälle mit API-Schwachstellen verbunden. Regulierungsbehörden, darunter die EU mit ihrer KI-Verordnung, verschärfen die Anforderungen an die Modelltransparenz. Unternehmen sind gezwungen, mehrschichtigen Schutz zu implementieren: parametrisierte Abfragen, Least-Privilege-Zugriff und regelmäßige KI-Konfigurationsaudits.
— Editorial Team
Noch keine Kommentare.