AIBoost
Nyheder
NyhedercybersikkerhedMcKinseyAI-sikkerhed

En AI hackede McKinseys interne AI-system på to timer - uden et eneste password

Et sikkerhedsfirma med én ansat brugte en autonom AI-agent til at bryde ind i McKinseys interne AI-platform Lilli og fik adgang til 46,5 millioner chatbeskeder, 57.000 brugerkonti og fortrolige klientdokumenter.

31. marts 20264 min read

En AI hackede McKinseys interne AI-system på to timer - uden et eneste password

Et sikkerhedsfirma satte en autonom AI-agent på McKinseys interne AI-platform og fik fuld adgang til produktionsdatabasen på under to timer. Ingen credentials. Intet sofistikeret hackerværktøj. Blot en AI, en gammel sårbarhed fra 1998 og offentligt tilgængelig API-dokumentation.

Hændelsen er siden blevet et skoleeksempel på, hvad der sker, når virksomheder udrulller AI-systemer i stor skala uden tilstrækkelig sikkerhed.

Hvad er Lilli?

Lilli er McKinseys interne AI-assistent, lanceret i 2023 og opkaldt efter Lillian Gonser - den første kvinde ansat som konsulent hos McKinsey i 1945. Platformen bruges af over 70% af McKinseys mere end 43.000 ansatte og behandlede over 500.000 prompts om måneden på tidspunktet for bruddet.

Konsulenter bruger Lilli til at søge i intern viden, analysere dokumenter og få hjælp til klientopgaver. Systemet indeholdt med andre ord noget af det mest følsomme McKinsey har: strategidiskussioner, M&A-information og klientengagementer.

Sådan skete det

Den 28. februar 2026 satte Paul Price, grundlægger og CEO af sikkerhedsfirmaet CodeWall, en autonom AI-agent på Lilli. Angrebsprocessen var ifølge Price "fuldt autonom fra research, analyse og angreb til rapport."

Agenten fandt hurtigt 22 uautoriserede API-endpoints i McKinseys offentligt tilgængelige API-dokumentation - endpoints der ikke krævede login at tilgå.

Et af disse endpoints havde en SQL injection-sårbarhed: brugersøgninger blev sat direkte ind i SQL-forespørgsler i stedet for at blive behandlet sikkert. SQL injection er en angrebsmetode der er beskrevet siden 1998. Ikke en zero-day. Ikke avanceret hacking. En 30 år gammel teknik der stadig virker.

AI-agenten kørte 15 blinde iterationer og trak data ud via fejlbeskeder. Derefter kombinerede den sårbarheden med en IDOR-fejl (Insecure Direct Object Reference) for at få adgang til individuelle brugeres søgehistorik.

Resultat: fuld læse- og skriveadgang til produktionsdatabasen. To timer. Nul passwords.

Hvad fik de adgang til?

Eksponeringen var massiv:

  • 46,5 millioner chatbeskeder i klartekst - indeholdende strategidiskussioner, M&A-information og klientdetaljer
  • 728.000 fortrolige filer - herunder 192.000 PDF'er, 93.000 regneark, 93.000 præsentationer og 58.000 Word-dokumenter
  • 57.000 brugerkonti
  • 384.000 AI-assistenter og 94.000 arbejdsområder
  • 3,68 millioner RAG-dokumentchunks fra proprietær McKinsey-forskning
  • 95 systemprompt-konfigurationer - alle med skriveadgang

Det sidste punkt er særlig kritisk. Systemprompts styrer, hvordan en AI-assistent opfører sig og svarer. Med skriveadgang til alle 95 konfigurationer kunne en angriber stille og roligt have omprogrammeret Lilli til at svare forkert - eller bevidst vildledende - over for alle 43.000+ medarbejdere. Ingen ville nødvendigvis have opdaget det.

McKinseys reaktion

CodeWall orienterede McKinseys sikkerhedsteam om sårbarheden den 1. marts 2026 - inden de gik offentligt ud med det. McKinsey lukkede alle uautoriserede endpoints inden for timer og tog udviklingsmiljøet offline. Den 9. marts blev hændelsen offentligt kendt.

McKinseys officielle udmelding:

"Vores undersøgelse, støttet af et ledende tredjepartsfirma for forensic IT, fandt ingen beviser for, at klientdata eller fortrolig klientinformation blev tilgået af denne forsker eller en anden uautoriseret tredjepart."

Virksomheden understreger, at det var et udviklingsmiljø - ikke produktionssystemer med live klientdata - og at der ikke er dokumentation for misbrug.

Hvorfor er det vigtigt for din virksomhed?

McKinsey er ikke et lille startup uden ressourcer til sikkerhed. Det er verdens mest kendte konsulentfirma med årtiers erfaring i at rådgive virksomheder om netop sikkerhed og risikostyring.

Alligevel slap et AI-drevet angreb igennem på to timer via en angrebsvektor fra 1998.

Det illustrerer en udfordring mange virksomheder deler: AI-platforme udrulles hurtigt, og sikkerhedsgennemgangen kan ikke følge med. API-dokumentation lægges offentligt tilgængeligt for nemhedens skyld. Endpoints forbliver uautoriserede under udvikling og glemmes. Skriveadgang til systemprompts betragtes ikke som en kritisk risiko - før den er det.

Spørgsmål du bør stille om din virksomheds AI-systemer:

  • Har vi uautoriserede API-endpoints, der er tilgængelige uden login?
  • Er vores API-dokumentation offentlig - og bør den være det?
  • Har vi adgangskontrol på systemprompts og konfigurationsfiler?
  • Er vores AI-platforme undergået en grundig sikkerhedsgennemgang inden udrulning?

Opsummering

| Fakta | Detalje | |---|---| | Dato for brud | 28. februar 2026 | | Opdaget af | Paul Price, CodeWall | | Angrebstid | Under 2 timer | | Metode | SQL injection + IDOR via autonom AI-agent | | Eksponerede beskeder | 46,5 millioner | | Eksponerede konti | 57.000 | | McKinseys respons | Patchet inden for timer efter afsløring |

Hændelsen er endnu ikke medført offentligt kendte sanktioner. Men den er allerede ved at blive et referencepunkt i diskussionen om, hvad ansvarlig AI-udrulning kræver - og hvad det koster, når det går galt.

Vil du vide mere om AI-sikkerhed og datasikkerhed? Læs vores guide til de bedste gratis AI-værktøjer i 2026.