descubra cómo un agente autónomo consiguió vulnerar la seguridad de la ai de mckinsey en tan solo dos horas, poniendo de manifiesto vulnerabilidades críticas y la necesidad de mejorar la protección.
Publicado el por Franck F.

Un agente autónomo vulnera la seguridad de la IA de McKinsey en sólo dos horas

El agente autónomo irrumpe en McKinsey AI Security in Just Two Hours expuso una dura lección para todas las empresas que se apresuran a escalar la IA interna, un único fallo web de la vieja escuela seguía dando a un atacante autónomo un camino hacia un sistema de alto valor utilizado en toda una empresa global.

Un agente autónomo rompe la seguridad de la IA de McKinsey en sólo dos horas, lo que pasó dentro de Lilli

Un agente autónomo vulnera la seguridad de la IA de McKinsey en sólo dos horas parece un titular pensado para causar conmoción, pero los detalles importan más que el valor de conmoción. A Ciberseguridad dijo que su agente ofensivo de IA eligió un objetivo, mapeó las interfaces expuestas, encontró un endpoint débil y llegó a los datos de producción en unas dos horas. El objetivo era Lilli, la plataforma interna de IA generativa de McKinsey, un sistema utilizado por aproximadamente tres cuartas partes de una plantilla de más de 40.000 personas para la investigación, el trabajo de estrategia y el análisis de documentos.

El relato describía un camino que muchos equipos de seguridad conocen bien. Al parecer, la documentación técnica pública exponía más de 200 puntos finales. Según la revelación, 22 de ellos no requerían autenticación. Un punto final de búsqueda abierto pasaba la entrada del usuario a una base de datos con una validación deficiente. Esto creó un Fallo de inyección SQL, una de las clases de errores más antiguas de la web. El agente se percató entonces de que los nombres de los campos de la base de datos aparecían reflejados en los mensajes de error, señal de una gestión de errores deficiente y un regalo para el reconocimiento. A partir de ahí, empezaron a aparecer datos de producción en las respuestas.

Un agente autónomo vulnera la seguridad de la IA de McKinsey en sólo dos horas también llamó la atención porque la supuesta repercusión fue amplia. CodeWall dijo que el agente llegó a 46,5 millones de mensajes de chat, 728.000 expedientes, 57.000 cuentas de usuario, 384.000 asistentes de IA, y 94.000 puestos de trabajo. Esas cifras han sido debatidas por analistas externos, y algunos expertos cuestionaron que las pruebas públicas demostraran plenamente todo el alcance. Aun así, la cadena de ataque en sí parecía técnicamente plausible para muchos observadores, lo que basta para inquietar a cualquier equipo de seguridad empresarial.

La rapidez de la respuesta también importa. Según los informes, el equipo de seguridad recibió la notificación el 1 de marzo, y los puntos de acceso expuestos se parchearon el 2 de marzo, desconectándose el entorno de desarrollo. McKinsey declaró posteriormente que una revisión forense realizada por terceros no encontró pruebas de que el investigador o cualquier otra parte no autorizada hubiera accedido a datos confidenciales de clientes. Una fuente también dijo que los archivos subyacentes se almacenaban por separado y no estaban expuestos como sugerían algunos informes iniciales. Estas aclaraciones reducen en parte la alarma, pero no eliminan el problema central.

Un agente autónomo vulnera la seguridad de la IA de McKinsey en sólo dos horas pone de relieve una brecha conocida. Las empresas suelen tratar las plataformas de IA como una clase especial de producto, mientras que los atacantes siguen encontrando errores en las aplicaciones ordinarias. Si un chatbot interno se asienta sobre API, bases de datos, avisos y lógica de administración, entonces la revisión de seguridad debe cubrir toda la pila. Seguimiento de lectores Riesgos de ciberseguridad de la IA han visto cómo este patrón se agudizaba a medida que las empresas colocaban más datos empresariales detrás de las interfaces conversacionales.

LEER  ¿Cuáles son los beneficios de un hackaton?

Hay un punto que destaca por encima del resto. No se trataba de un malware exótico ni de un día cero de un Estado-nación. El problema era fallo básico de seguridad web en la puerta de entrada de la era prompt.

Un agente autónomo vulnera la seguridad de la IA de McKinsey en sólo dos horas, por qué esta brecha importa más allá de una empresa

Un agente autónomo vulnera la seguridad de la IA de McKinsey en sólo dos horas es mayor que una consultora y una herramienta interna. McKinsey ha vinculado públicamente una gran parte de su negocio al trabajo de asesoramiento en IA, y la dirección ha hablado de decenas de miles de agentes internos de IA que prestan apoyo al personal. Cuando una empresa que vende la transformación de la IA se enfrenta a un incidente relacionado con su propia plataforma de IA, los clientes empiezan a plantearse preguntas más difíciles. ¿Qué controles protegen a los copilotos internos? ¿Dónde viven los avisos? ¿Quién revisa los puntos finales expuestos? ¿Qué registro detecta el acceso de escritura silencioso?

La reclamación por acceso de escritura es donde esta historia pasa de grave a severa. Según el informe, el sistema interno de Lilli solicita, sobre 95 archivos promptse almacenaban en la misma base de datos. De ser cierto, un atacante no necesitaba un despliegue de código para alterar el comportamiento del bot. Una simple actualización de la base de datos enviada a través de una petición HTTP podría haber cambiado la forma en que el asistente respondía a los empleados de toda la empresa. Esto significa que la superficie de ataque no se limitaba a los datos almacenados. La propia capa de comportamiento estaba al alcance de la mano.

Por eso los equipos de seguridad hablan ahora de la capa de aviso como un verdadero límite de control. La seguridad tradicional de las aplicaciones se centra en la identidad, el código, la infraestructura y los datos. Los sistemas de IA añaden una nueva capa operativa en la que las instrucciones, los conductos de recuperación, el enrutamiento de modelos, la memoria y los permisos de herramientas determinan los resultados empresariales. Si un atacante cambia las instrucciones, el sistema podría filtrar más datos, engañar al personal o sabotear los flujos de trabajo internos sin tocar el código fuente. La supervisión de cambios estándar a menudo pasa por alto esta vía.

Un breve resumen operativo aclara la cuestión.

Zona de exposición Por qué les importa a los equipos de seguridad
Puntos finales abiertos Amplían la superficie pública de ataque y aceleran la enumeración automatizada
Inyección SQL Fallo antiguo, de gran impacto, que aún vence a las pilas modernas cuando falla la validación de entradas
Mensajes de error detallados Filtran detalles del esquema y ayudan a los atacantes a refinar las cargas útiles.
Almacenamiento inmediato en la base de datos El comportamiento del asistente puede modificarse sin necesidad de instalar código.
Acceso de lectura y escritura a bases de datos El robo de datos se convierte en manipulación, persistencia y abuso silencioso

Un agente autónomo vulnera la seguridad de la IA de McKinsey en sólo dos horas también llega en un momento en que las herramientas ofensivas autónomas están pasando de las demostraciones de laboratorio a los flujos de trabajo prácticos de los equipos rojos. Esto no significa que todos los atacantes con IA sean imparables. Significa que el reconocimiento a velocidad de máquina y el encadenamiento de exploits se producen ahora de forma más rápida, barata y con menos supervisión humana. Organizaciones que revisan seguridad de confianza cero se enfrentan a una nueva realidad. Las herramientas internas de IA están cerca de documentos confidenciales, cuentas de empleados y sistemas de apoyo a la toma de decisiones. Estos entornos merecen el mismo rigor que los productos de cara al cliente.

LEER  Entender el creciente desafío del agotamiento en el ámbito de la ciberseguridad

Algunos analistas se opusieron a las afirmaciones más amplias, especialmente en torno a si una política de divulgación concedía suficiente margen para pruebas tan profundas. El debate es justo. Sin embargo, incluso con supuestos más limitados, la lección se mantiene. El despliegue de la IA multiplica el riesgo cuando las empresas exponen interfaces no documentadas, confían en escáneres antiguos o tratan las indicaciones como texto inofensivo en lugar de lógica de producción en vivo.

Un agente autónomo vulnera la seguridad de la IA de McKinsey en sólo dos horas importa porque la historia desmonta un mito reconfortante. Los nuevos sistemas de IA no fallan sólo de formas nuevas. También fallan por los mismos errores que se suponía que los equipos debían eliminar hace años.

En todo el sector se está produciendo un cambio en este sentido: se ha pasado de un "red teaming" agentivo a un "red teaming" defensivo. automatización. Los compradores de seguridad comparan el principales empresas de ciberseguridad se preguntan ahora quién protege conjuntamente los datos, las indicaciones, los modelos y la orquestación, en lugar de tratarlos como productos separados.

Autonomous Agent rompe la seguridad de la IA de McKinsey en sólo dos horas, las lecciones prácticas para cada equipo de IA empresarial

Un agente autónomo vulnera la seguridad de la IA de McKinsey en sólo dos horas debería desencadenar una lista de comprobación interna en cualquier empresa con copilotos, asistentes del conocimiento o herramientas de IA basadas en la recuperación. Empezar por el borde público. Los equipos de seguridad necesitan un inventario actualizado de cada endpoint, cada documento de desarrollador, cada entorno olvidado y cada ruta accesible sin inicio de sesión. Si un agente atacante puede leer los documentos, los probará. Las plataformas internas de IA suelen crecer rápidamente, y el crecimiento rápido deja rutas huérfanas.

La siguiente capa es la gestión de entradas. La inyección SQL debe bloquearse mediante consultas parametrizadas, validación estricta del lado del servidor, patrones ORM más seguros y pruebas agresivas. Esto parece rutinario porque lo es. El problema es la ejecución. Las aplicaciones internas a menudo escapan a la disciplina aplicada a los productos de consumo público. Los equipos asumen que un público más pequeño significa menor riesgo. El caso de Lilli sugiere lo contrario. Los sistemas internos de IA suelen tener un contexto más rico, documentos más ricos y una autoridad más rica.

Lo que los equipos deben revisar esta semana

Las ganancias más rápidas proceden de los controles básicos aplicados con disciplina. Los responsables de seguridad no necesitan un nuevo eslogan. Necesitan que el trabajo aburrido se termine a tiempo.

  • Asignar cada punto final expuestoincluyendo la documentación antigua, las rutas de prueba y las API de búsqueda.
  • Eliminar el acceso no autenticado a menos que exista un argumento comercial y se cuente con su aprobación por escrito.
  • Pruebas de inyección SQL y manipulación de solicitudes con revisión manual, no sólo con salida de escáner.
  • Separe el almacenamiento rápido y los planos de datos sensibles por lo que un fallo de consulta no expone a ambos.
  • Registrar los cambios de aviso como eventos de seguridad con alertas vinculadas a actualizaciones inusuales.
  • Ejercicios agente contra agente donde las herramientas autónomas sondean los productos internos de IA antes de que lo hagan los atacantes.
LEER  El inquietante silencio del sector de la ciberseguridad - DualMedia Noticias de innovación

Un agente autónomo vulnera la seguridad de la IA de McKinsey en sólo dos horas también muestra por qué la validación de la seguridad debe incluir el comportamiento, no sólo el código y la infraestructura. Un asistente financiero, una herramienta de búsqueda jurídica o un robot de investigación de fusiones y adquisiciones deben tener barandillas en torno al alcance de la recuperación, los límites del espacio de trabajo y los controles de salida. Si un atacante cambia las instrucciones, el asistente debe fallar de forma segura. Las acciones sensibles deben requerir vías de autorización separadas. El almacenamiento de instrucciones, memoria, conectores y reglas de política debe aislarse y supervisarse con la misma seriedad que los repositorios de código fuente.

También hay un problema de personal. Cuando las empresas despliegan miles de agentes internos, la propiedad se vuelve confusa. Un equipo gestiona el proveedor de modelos, otro la aplicación, otro el lago de datos y otro la identidad. Aparecen lagunas entre esos equipos. La solución es la responsabilidad directa. Un propietario de servicio nombrado debe firmar las revisiones de exposición, la gobernanza rápida, el registro y la respuesta a incidentes. Las empresas que se enfrentan a la presión de los reguladores y las aseguradoras ya están avanzando en esta dirección, especialmente a medida que aumentan las expectativas de cumplimiento. Algunos fragmentos de esta tendencia aparecen en la cobertura sobre cumplimiento de la ciberseguridad en 2026 y en informar sobre cómo La inteligencia artificial hace que Internet sea más seguro cuando se utiliza en defensa en lugar de dejarlo sin control en ataque.

Lo más importante es sencillo. Un agente autónomo vulnera la seguridad de la IA de McKinsey en sólo dos horas no era una advertencia sobre la ciencia ficción. Era una advertencia sobre la falta de higiene en los sistemas que manejan conocimientos empresariales de gran valor. Si su empresa tiene una plataforma interna de IA, esta historia es una prueba en vivo de si sus controles son reales o sólo están escritos en la política. Comparta el artículo con un colega que sea propietario de IA, seguridad de aplicaciones o identidad, y luego comparen notas sobre lo que sigue expuesto.

Los equipos de seguridad que siguen los últimos incidentes en empresas han observado el mismo patrón en todos los sectores, incluidas las infracciones en el sector público y las telecomunicaciones. El hilo conductor es la velocidad. Los atacantes pasan de la documentación al exploit y del exploit al acceso más rápido de lo que muchos ciclos de revisión pasan del retraso al parche.

Qué se preguntan los líderes empresariales después de que un agente autónomo vulnere la seguridad de la IA de McKinsey en sólo dos horas

¿Se trata de un hack clásico o de un exploit específico de la IA?

El punto de entrada reportado fue una falla web clásica, inyección SQL. El punto de vista de la IA se debió a que el atacante era autónomo y a que el objetivo era una plataforma interna de IA generativa con avisos, asistentes y espacios de trabajo vinculados a datos empresariales.

¿Probó el incidente el robo de datos de clientes?

Los informes públicos describen amplias reclamaciones de acceso, mientras que McKinsey dijo que una revisión forense no encontró pruebas de que el investigador o cualquier otra parte no autorizada accediera a información confidencial del cliente. La lección clave reside en la ruta expuesta y el nivel de acceso supuestamente alcanzado.

¿Por qué es más importante el acceso de escritura que el de lectura?

El acceso de lectura expone mensajes, archivos y detalles de cuentas. El acceso de escritura aumenta el riesgo de manipulación silenciosa, cambios puntuales, salidas envenenadas y persistencia dentro de los flujos de trabajo normales, lo que a menudo crea un incidente más difícil de detectar e investigar.

¿Qué deben solucionar primero las empresas?

Empiece por el inventario de puntos finales, la autenticación, la validación de entradas y la gestión de errores. A continuación, revise el almacenamiento inmediato, el registro de cambios, el aislamiento del espacio de trabajo y las pruebas de equipo rojo creadas para flujos de trabajo de IA en lugar de aplicaciones web simples.