McKinsey heeft een AI-chatbot (Lilli) gebouwd die is getraind op 100 jaar aan werk, 100k documenten en interviews. 70% van de 45k medewerkers gebruikt de tool, wat resulteert in 500k prompts per maand. Een onderzoeksbedrijf heeft er toegang toe gekregen met "volledige lees- en schrijfrechten op de productiedatabase", inclusief "47m chatberichten over strategie, M&A, klantbetrokkenheid, allemaal in platte tekst, samen met 728k berichten die vertrouwelijke klantgegevens bevatten, 57k gebruikersaccounts en 95 systeemprompts die het gedrag van de AI controleren." McKinsey zei dat het de kwetsbaarheid heeft verholpen, die mogelijk werd gemaakt door "openlijk blootgestelde API-documentatie, inclusief 22 eindpunten die geen authenticatie vereisten... een van deze schreef gebruikerszoekopdrachten, en de agent ontdekte dat de JSON-sleutels (dit zijn de veldnamen) waren samengevoegd in SQL en kwetsbaar waren voor SQL-injectie."

Volledige lezing hier: Mckisney gaat volledig voor Lilli!