McKinsey’nin AI platformunu nasıl hackledik

 (codewall.ai)
2 puan yazan GN⁺ 2026-03-12 | 1 yorum | WhatsApp'ta paylaş
  • McKinsey’nin çalışanlar için oluşturduğu AI platformu ‘Lilli’ üzerinde, kimlik doğrulama gerektirmeden erişilebilen bir zafiyet üzerinden tüm veritabanında okuma-yazma yetkisi elde edildi
  • Saldırı, otonom güvenlik ajanı tarafından gerçekleştirildi; herkese açık API dokümantasyonundaki 200’ün üzerindeki endpoint’in 22’sine kimlik doğrulama olmadan erişilebiliyordu ve bunlardan birindeki SQL injection üzerinden sızma sağlandı
  • Veritabanında 46,5 milyon sohbet mesajı, 728 bin dosya, 57 bin kullanıcı hesabı gibi hassas iç bilgiler bulunuyordu
  • Ajan ayrıca AI model ayarları, sistem prompt’ları, RAG belge parçaları, harici API veri akışları dahil McKinsey’nin AI operasyon yapısının tamamını ortaya çıkardı
  • Bu olay, prompt katmanının (prompt layer) yeni bir güvenlik zafiyeti noktası olarak öne çıktığını gösteriyor; AI sistemlerinde talimat bütünlüğünün korunması temel bir gündem haline geliyor

Lilli platformuna genel bakış

  • McKinsey, 2023’te 43.000’den fazla çalışan için dahili AI platformu Lilli’yi kurdu
    • Sohbet, belge analizi, RAG tabanlı arama ve 100 binden fazla dahili dokümanda arama işlevi sunuyor
    • Ayda 500 binden fazla prompt işliyor ve çalışanların %70’inden fazlası tarafından kullanılıyor
  • Platformun adı, şirketin 1945’teki ilk kadın profesyonel çalışanının isminden geliyor

Sızma süreci

  • Otonom saldırı ajanı, herkese açık API dokümantasyonunu inceleyerek 200’ün üzerindeki endpoint’in 22’sine kimlik doğrulama olmadan erişilebildiğini tespit etti
  • Bunlardan biri kullanıcı arama sorgularını veritabanına kaydediyordu ve JSON anahtarları SQL ifadesine doğrudan bağlandığı için SQL injection oluşuyordu
    • Bu, OWASP ZAP gibi mevcut araçların tespit edemediği bir zafiyetti
  • Ajan, 15 tekrar istek yoluyla sorgu yapısını anladı ve gerçek production verisini çekti
    • İlk çalışan kimliği ortaya çıktığında “WOW!”, büyük çaplı veri sızıntısını doğruladığında ise “This is devastating.” tepkisini kaydetti

Açığa çıkan veriler

  • 46,5 milyon sohbet mesajı: strateji, müşteri projeleri, finans, M&A, iç araştırmalar gibi hassas konuşmalar düz metin olarak saklanıyordu
  • 728 bin dosya: bunların içinde 192 bin PDF, 93 bin Excel, 93 bin PowerPoint ve 58 bin Word dosyası yer alıyordu
    • Yalnızca dosya adları bile hassastı ve doğrudan indirilebilen URL’ler mevcuttu
  • 57 bin kullanıcı hesabı, 384 bin AI asistanı, 94 bin workspace yapısı açığa çıktı

Veritabanı dışındaki ek sızıntılar

  • Sistem prompt’ları ve AI model ayarları için 95 kayıt ile 12 model türüne ait yapılandırma bilgileri açığa çıktı
    • Bunlar AI’ın davranış talimatlarını, guardrail’leri, fine-tuned modelleri ve dağıtım ayrıntılarını içeriyordu
  • 3,68 milyon RAG belge parçası ile S3 yolları ve dahili metadata açığa çıktı
    • Buna McKinsey’nin onlarca yılda biriktirdiği özgün araştırmaları ve metodolojileri de dahildi
  • Harici AI API’leri üzerinden veri akışları: 1,1 milyon dosya, 217 bin ajan mesajı ve 266 binden fazla OpenAI vector store açığa çıktı
  • IDOR zafiyeti ile birleştirilince tek tek çalışanların arama geçmişine kadar erişim mümkün oldu

Prompt katmanının riski

  • SQL injection, yazma yetkisini de kapsıyordu
    • Lilli’nin sistem prompt’ları aynı veritabanında tutulduğu için saldırgan bunları değiştirebiliyordu
    • Tek bir HTTP isteğiyle AI’ın davranış talimatları değiştirilebiliyordu
  • Olası etkiler
    • Manipüle edilmiş tavsiyeler: finansal modellerin veya strateji önerilerinin bozulma riski
    • Veri sızıntısı: dahili bilgilerin AI yanıtlarına eklenerek dışarı çıkarılması
    • Guardrail’lerin kaldırılması: erişim kontrollerinin atlanması ve dahili verilerin açığa çıkması
    • Gizli kalıcılık: log veya kod değişikliği olmadan yalnızca AI davranışının değiştirilmesi
  • Prompt’lar, kod ve sunuculardan daha zayıf güvenlik yönetimine sahip yüksek değerli varlıklar olarak öne çıkıyor; erişim kontrolü, sürüm yönetimi ve bütünlük doğrulaması neredeyse yok
  • “AI prompt’ları yeni kritik varlıklar (Crown Jewels)” sonucu ortaya konuyor

Olayın anlamı

  • McKinsey, küresel ölçekte teknik yetkinliğe ve güvenlik yatırımına sahip bir şirket olmasına rağmen klasik SQL injection iki yıldır çalışan bir sistemde mevcuttu
  • Otonom ajan, checklist tabanlı tarayıcıların bulamadığı zafiyetleri zincirleme biçimde keşfedip büyüttü
  • CodeWall, bu saldırıyı gerçekleştiren otonom güvenlik platformu olarak, gerçek saldırı yüzeyini sürekli denetleyen AI tabanlı güvenlik testleri sunuyor

Açıklama takvimi

  • 2026-02-28: Otonom ajan SQL injection’ı buldu ve veritabanı envanterini çıkarmaya başladı
  • 2026-02-28: Tüm saldırı zinciri doğrulandı, 27 zafiyet dokümante edildi
  • 2026-03-01: Etki özeti McKinsey güvenlik ekibine raporlandı
  • 2026-03-02: McKinsey CISO’su alındı bilgisini verdi ve ayrıntılı kanıt talep etti
  • 2026-03-02: McKinsey tüm kimlik doğrulamasız endpoint’leri yamaladı, geliştirme ortamını offline’a aldı ve herkese açık API dokümantasyonunu kapattı
  • 2026-03-09: Kamuya açıklama yapıldı

İlgili okumalar

1 yorum

 
GN⁺ 2026-03-12
Hacker News yorumları

  • İçeride neler döndüğünü biraz biliyorum; Lilli, bir yıl öncesine kadar yalnızca şirket içi bir sistemdi.
    VPN, SSO gibi tüm güvenlik adımları gerekliydi, ama ne zaman herkese açık hale geldiğini bilmiyorum.
    McKinsey, küçük çaplı iç testler için bile dışarıdan bir penetrasyon testi şirketi tutmak zorunda.
    Bu tür bir hata, Lilli geliştiricilerinin açısından anlaşılabilir. Dışarıdan erişilebilen bir endpoint'in açığa çıkması için birden fazla güvenlik katmanının aynı anda başarısız olması gerekir.
    Ama bu olayda hata, doğrulamanın neredeyse sıfır olduğu bir seviyedeydi.
    Muhtemelen kıdemli ortaklardan biri etkisini kullanıp Lilli'yi herkese açık hale getirdi.
    O noktada asıl ekibin çoğu başka projelere geçmişti ve şirket içi projeler performans değerlendirmesinde dezavantajlı sayıldığı için kalanların motivasyonu yoktu.
    Sonuçta bu, McKinsey'in teknoloji kültürünün çöküşü.

    • McKinsey'in yapısı tuhaf biçimde karmaşık. Herkes “client impact” ile değerlendirildiği için ortaya herkesin kendi başının çaresine baktığı bir düzen çıkıyor.
      Geliştiriciler net bir yön olmadan çalışıyor, bir ortak ortaya bir fikir attığında da insanlar onunla değerlendirme puanı almak için koşuyor.
      Ama proje bitmeden ortak başka bir işe geçiyor ve geride kalanların işi tamamlama nedeni kalmıyor.
      Bu yüzden ürünlerin çoğu liderliğin anlık fikirlerinden oluşan bir kolaj gibi ortaya çıkıyor.
      Yazılımı altı aylık danışmanlık işi gibi ele alınca elbette bozuluyor.
      2024'te çok sayıda yetenekli mühendisi işten çıkarmaları da teknolojiye nasıl baktıklarını gösteriyor.
      Bu kültür başka şirketlere de yayılıyor; arayüzün sürekli değişmesi gibi kısa vadeli sonuç odaklı kültür giderek yaygınlaşıyor.
    • Sonuç olarak, McKinsey kendi teknolojisini düzgün yönetemiyorsa yapay zeka benimsemesi ya da teknoloji organizasyonu tasarımı konusunda danışmanlık vermemeli.
    • Acaba Lilli'nin açılma nedeni işe alım chatbot'u olabilir mi?
      İlgili haber: McKinsey challenges graduates to use AI chatbot in recruitment overhaul (FT)
    • QuantumBlack'te de durum aynı mı merak ediyorum. Orada en azından Brix platform varlıkları güncel görünüyor.
    • Bir muhasebe ya da yönetim danışmanlığı şirketinin teknolojiye el atmasını anlayamıyorum.
      Sonuçta sanki sadece paketleyip satabilecekleri noktaya kadar ayakta tutmak istiyorlar.
      Yapay zeka çözümlerinin ömrü kısa, değişim hızı da çok yüksek. Yanılıyorsam öğrenmek isterim.

  • Veri sızıntısı sorun ama daha korkutucu olan, sistem prompt'u üzerinde yazma yetkisi bulunmasıydı.
    Tek bir UPDATE sorgusuyla 43 bin danışmanın yanıt mantığı değiştirilebilirdi.
    Deploy, code review ya da log olmadan sessizce manipüle etmek mümkündü.
    Bu şekilde strateji danışmanlığı içeriği kirletilebilir.
    Dürüst olmak gerekirse çoğu şirket prompt'ları doğrudan bir Postgres tablosunda tutuyor.

  • Korunmasız endpoint, kullanıcı arama sorgularını veritabanına kaydediyordu; değerler parametreleştirilmişti ama JSON anahtarları doğrudan SQL'e bağlanmıştı.
    Bu, prompt injection değil klasik bir SQL injection vakasıydı.

    • Sıradan bir SQL injection çıkması biraz hayal kırıklığı yarattı. Yine de bunu LLM tabanlı bir zafiyet tarama ajanının bulmuş olması ilginç.
    • LLM'in yazdığı kodun bu tür hatalarla production'a çıktığı kaç örnek vardır merak ediyorum.
      Sonuçta bu durum muhtemelen güvenlik araştırmacılarına olan talebin artmasına yol açacak.
    • İnternete açarken ön tarafa oauth2-proxy koymanın temel bir sağduyu olması ama bunun para kazandırmaması, buna karşılık Anthropic'in milyarlar kazanması oldukça acı.

  • “AI agent does X” türü başlıklar beni rahatsız ediyor.
    Gerçekte olan şey, pentester'ların yapay zeka ajanı kullanarak McKinsey'i seçip test etmesiydi.
    İnsanlar bugünlerde bu sistemlerin gerçekten “karar verme yeteneği” olduğuna kapılıyor, bu yüzden ifade daha net olmalı.

    • Asıl makale başlığı olan “How We Hacked McKinsey's AI Platform” daha doğruydu.
    • Buna “agentic systems” dediğiniz anda zaten insan özellikleri yüklemiş oluyorsunuz.
    • Sonuçta sadece tıklama almak için atılmış reklamvari bir başlık.
    • Başlık daha sonra tekrar eski haline çevrildi (“AI Agent Hacks McKinsey” → asıl başlığa dönüş).

  • “McKinsey & Company — world-class technology teams” ifadesi abartılı.
    Gerçekte bu şekilde değerlendirilmiyorlar.

    • Muhtemelen cümleyi LLM yazdığı için kaçınılmaz olarak kendini övme tonu girmiş.
    • McKinsey, sistem analizi ve iyileştirme önerilerinde güçlü ama uygulama kısmını dış geliştirme ekipleri yapıyor.
      (Bu görüş, büyük bir yatırım bankasında McKinsey ile birlikte çalışmış olmaktan geliyor.)
    • Teknoloji ekipleri dünya çapında değil. Ama yönetim danışmanlığı becerileri gerçekten üst düzey.
    • Hangi müşteri olduğuna bağlı. Müşteri değerini artırma projelerinde sıradan olabilirler ama yeniden yapılanma ya da yolsuzlukla ilgili işlerde konu bambaşka.

  • Codewall AI'ın kim olduğunu bilmiyorum. McKinsey'in gerçekten yama geçtiğine dair resmî bir ifade yok.
    Google arama sonuçlarında da neredeyse hiç bilgi yok.

    • Benim de bilgim yok; bu yüzden McKinsey ya da güvenlik ekibinin kanıt sunması gerektiğini düşünüyorum.
    • The Register haberine göre McKinsey bunu kabul etmiş gibi görünüyor.
      İlgili haber
      Bu arada CEO, eth0izzle (GitHub).
    • Codewall tarafı doğrudan, “Biz yeni bir şirketiz, McKinsey bizim gönderimize yorum yapmadı ama The Register'a yanıt verdi” dedi.
    • Eğer sızan verilerde 58 bin kullanıcı varsa, buna eski çalışanlar da dahildir; bu da yasal bildirim yükümlülüğü doğurabilir.

  • Bu olayın dersi, yapay zeka ajanlarının iç sistemlerdeki zayıflıkları hızla ortaya çıkarabilmesi.
    Geleneksel kurumsal araçlar insanlar tarafından kullanılacağı varsayımıyla tasarlanıyordu; kimlik doğrulama, inceleme ve süreçler örtük bir savunma hattı işlevi görüyordu.
    Ama otonom ajanlar devreye girdiğinde bu koruma katmanları çöküyor.
    Bundan sonra otomatik doğrulama katmanları gerekecek — erişim kontrolü, veri ifşası ve istenmeyen davranışlar sürekli denetlenmeli.

  • Bu yazı LLM tarafından yazılmış bir haber ve bazı bilgiler hatalı.
    Yani yeterli insan incelemesi yapılmamış; bu da metnin tamamının güvenilirliğini düşürüyor.

  • “Açık API dokümantasyonunda 200'den fazla endpoint vardı, bunların 22'sine kimlik doğrulama olmadan erişilebiliyordu.”
    Her şeyi açıklayan tek cümle bu.

  • Eskiden McKinsey ekibinin Watson'ı çok agresif biçimde ittirdiğini hatırlıyorum. Tam bir fiyaskoydu.
    Uzun zamandır ortada yalnızca yapay zeka abartısı var, somut bir şey yok.
    Diğer alanları bilmem ama yapay zeka hakkında konuşan bir McKinsey çalışanı görürseniz oradan kaçın.