46,5 Millionen Chat-Nachrichten. 728.000 Dateien. 57.000 User-Accounts. Alles offen.
Nicht bei einem Startup das gestern gegründet wurde. Bei McKinsey. Der Beratung die Fortune-500-Unternehmen erklärt, wie sie KI sicher einsetzen sollen.
Was ist passiert? Und was heisst das für jedes Unternehmen das gerade KI einführt?
Der Hack: Zwei Stunden, ein Agent, alles offen
Das Security-Unternehmen CodeWall.ai hat einen autonomen KI-Agenten auf McKinseys interne KI-Plattform „Lilli“ losgelassen. Kein Mensch mit Kapuzenpulli in einem dunklen Keller. Ein KI-Agent. Alleine.
Der Einstiegspunkt? Eine SQL-Injection über einen ungeschützten API-Endpunkt. Das ist so ungefähr das Äquivalent davon, die Haustür offen stehen zu lassen. Der Agent hat 15 Iterationen gebraucht um die Schwachstelle zu finden und auszunutzen. Zwei Stunden nach dem Start hatte er vollen Lese- und Schreibzugriff auf die komplette Produktionsdatenbank.
Was da alles drin lag:
192.000 PDFs. 93.000 Excel-Sheets. 384.000 KI-Assistenten. 3,68 Millionen RAG-Dokumentteile. Und die System-Prompts die das Verhalten der gesamten Plattform steuern.
Nicht nur lesen. Auch verändern. Der Agent hätte die System-Prompts umschreiben können und damit das Verhalten aller KI-Assistenten auf der Plattform manipulieren.
Warum mich das beschäftigt
Ich rede nicht von einer kleinen Firma die sich mit IT schwertut. McKinsey hat Tausende der klügsten Köpfe. Budgets von denen die meisten Mittelständler nur träumen. Und trotzdem: eine SQL-Injection. 2026. Ernsthaft.
Das zeigt mir zwei Dinge.
Erstens: Geschwindigkeit schlägt Sicherheit. Überall. Jeder will KI einführen. Gestern. Und in der Hektik wird Security zum Nachgedanken. „Machen wir später.“ Später ist dann wenn jemand drin ist.
Zweitens: KI-Agenten verändern das Spiel. Es braucht keinen erfahrenen Hacker mehr. Ein autonomer Agent iteriert sich durch Schwachstellen wie ein Schachcomputer durch Eröffnungen. Systematisch, geduldig, 24 Stunden am Tag. Das senkt die Einstiegshürde für Angriffe massiv.
Was das für euer Unternehmen heisst
Hand aufs Herz. Wann habt ihr das letzte Mal eure KI-Systeme auf Sicherheit getestet? Nicht die IT-Infrastruktur. Die KI-Systeme. Die Prompts. Die API-Endpunkte. Die Datenbanken in denen eure RAG-Dokumente liegen.
Die meisten Unternehmen die ich berate haben keine Antwort auf diese Frage. Nicht weil sie fahrlässig sind. Sondern weil KI-Security ein blinder Fleck ist. Alle reden über Use Cases und Produktivität. Kaum jemand redet über Angriffsflächen.
Bei CTRL+ALT+LEAD sagen wir: KI einführen ohne Security mitzudenken ist wie ein Haus bauen ohne Schlösser. Sieht erstmal gut aus. Bis jemand reinspaziert.
Die gute Nachricht
McKinsey hat innerhalb von 24 Stunden reagiert und alle Schwachstellen geschlossen. CodeWall hat responsible disclosure praktiziert, also vorher Bescheid gesagt bevor sie den Hack öffentlich gemacht haben.
Das zeigt: Wenn du weisst dass da ein Problem ist, kannst du es schnell fixen. Das Problem ist das „wenn du weisst“. Die meisten Unternehmen wissen es nicht. Weil sie nicht testen.
Drei Fragen die sich jedes Unternehmen jetzt stellen sollte
Wer hat Zugriff auf die Datenbanken hinter unseren KI-Systemen? Sind unsere API-Endpunkte gegen Injection-Angriffe geschützt? Und was passiert, wenn jemand unsere System-Prompts verändert?
Wenn ihr auf eine dieser Fragen keine klare Antwort habt, dann wisst ihr was eure nächste Priorität sein sollte.
