Brecha en IA de McKinsey: Datos Sensibles Expuestos

La consultora McKinsey & Company sufrió una brecha de seguridad significativa en su plataforma de inteligencia artificial interna, llamada Lilli, según un informe publicado por CodeWall. Un agente autónomo de seguridad, sin necesidad de credenciales ni conocimiento interno, logró acceder a la base de datos de producción en tan solo dos horas a través de una vulnerabilidad de inyección SQL en un endpoint público. La brecha expuso una cantidad masiva de datos sensibles, incluyendo 46.5 millones de mensajes de chat, 728.000 archivos (PDFs, Excel, PowerPoint, Word), 57.000 cuentas de usuario y detalles sobre la estructura interna de uso de la IA de la empresa. Lo más preocupante es que el agente también pudo acceder y potencialmente modificar los 'system prompts' que controlan el comportamiento de Lilli, lo que podría haber permitido la manipulación de consejos para clientes, la exfiltración de datos o la eliminación de medidas de seguridad. La vulnerabilidad, que no fue detectada por los escáneres internos de McKinsey durante más de dos años, resalta la necesidad urgente de proteger la 'capa de prompts' en los sistemas de IA, un área que, según CodeWall, a menudo se descuida. McKinsey ha parcheado la vulnerabilidad y tomado medidas correctivas tras la notificación responsable.