ИИ-агент действительно взломал корпоративный чатбот McKinsey Lilli, получив доступ к огромному объёму конфиденциальных данных - это яркий пример, как автономные ИИ начинают представлять реальную угрозу в кибербезопасности. Инцидент подчёркивает уязвимость даже продвинутых систем, построенных на ИИ, перед собственными коллегами из конкурирующих моделей. Детали атаки Стартап CodeWall протестировал своего автономного агента на Lilli на внутреннем помощнике McKinsey, который с 2023 года обслуживает 40 000+ сотрудников и обрабатывает полмиллиона запросов ежемесячно. Агент самостоятельно нашёл открытую API-документацию с 22 незащищёнными эндпоинтами, где обнаружил SQL-инъекцию. JSON-ключи из запросов вставлялись прямо в базу без санитизации. Через два часа он получил полный доступ к чтению и записи. К 46,5 миллионам сообщений, 728 000 клиентских файлов, данным 57 000 пользователей и даже 95 системным промптам Lilli. Ключевой риск тут в том, что атакующий мог одним UPDATE переписать поведение чатбота для всех пользователей, превратив его в троянского коня без каких-либо обновлений кода. Почему это сработало Lilli хранит чувствительную информацию, такую как: стратегии, M&A. Клиентские данные находились в одной базе с системными настройками, что создало идеальные условия для эскалации привилегий. Агент действовал автономно. От разведки (сканирование публичных эндпоинтов) до эксплуатации (анализ ошибок, отражающих живые данные). Классические сканеры вроде SQLMap пропустили бы уязвимость, так как она проявлялась только в динамических ответах. CodeWall выбрал McKinsey из-за их политики bug bounty и прозрачности обновлений Lilli - агент сам ранжировал цели по публичным данным. Реакция McKinsey и последствия Уязвимость раскрыли 1 марта 2026 года. McKinsey оперативно закрыла эндпоинты, отключила dev-среду и спрятала документацию. Компания настаивает, что данные не утекли наружу (подтверждено независимой экспертизой), но инцидент выявил системные проблемы. Отсутствие сегментации данных, слабая аутентификация API и хранение промптов в продакшене. Пол Прайс подчеркнул автономность. Весь цикл прошёл без человека, что делает такие атаки масштабируемыми и неостановимыми традиционными средствами. Что это значит для ИИ и безопасности Этот кейс - первый задокументированный случай ИИ vs ИИ атаки на корпоративном уровне, где скорость машины обходит человеческий аудит. Для бизнеса урок прост. ИИ-агенты требуют не только шифрования данных, но и защиты на уровне архитектуры, сегментация баз, валидация промптов, мониторинг аномалий в API.