IBGIA - Instituto Brasileiro de Governança em Inteligência Artificial
Segurança

Como a plataforma de IA da McKinsey foi hackeada — e o que isso ensina sobre governança

A plataforma Lilli, usada por 43 mil consultores da McKinsey, foi comprometida por uma vulnerabilidade que ferramentas tradicionais não detectaram.

Por IBGIA10 de março de 202610 min de leitura

Em 28 de fevereiro de 2026, pesquisadores de segurança da CodeWall.ai descobriram uma vulnerabilidade crítica na Lilli, a plataforma interna de IA da McKinsey usada por mais de 43 mil funcionários. A falha permitia acesso não autenticado a 46,5 milhões de mensagens de chat, centenas de milhares de arquivos e configurações internas de modelos de IA. O incidente foi corrigido em 48 horas, mas as implicações para a governança de segurança de IA corporativa são profundas — e vão muito além de uma única empresa.

O que aconteceu

A Lilli é a plataforma proprietária de inteligência artificial da McKinsey, lançada em 2023 e adotada por mais de 70% dos 43 mil funcionários da consultoria. A ferramenta funciona como um assistente de IA que permite consultar a vasta base de conhecimento da firma, gerar análises e acessar documentos internos — essencialmente, o cérebro digital de uma das mais influentes consultorias do mundo.

Em 28 de fevereiro de 2026, um agente autônomo de segurança ofensiva da empresa CodeWall.ai identificou uma vulnerabilidade crítica na API da plataforma em apenas duas horas de teste. A falha foi comunicada à McKinsey em 1º de março, e a correção foi implementada em 2 de março. A divulgação pública ocorreu em 9 de março, seguindo práticas de responsible disclosure.

O detalhe mais relevante: ferramentas tradicionais de segurança não conseguiram detectar a vulnerabilidade. O OWASP ZAP e scanners convencionais passaram pela mesma API sem identificar nada. Foi necessário um agente de IA especializado em segurança ofensiva para encontrar o problema.

Como funcionou o ataque

A vulnerabilidade era uma injeção SQL não autenticada — um tipo de ataque conhecido há décadas, mas manifestado de forma incomum. O problema estava na forma como a API da Lilli processava requisições JSON.

Em requisições normais, os valores dos parâmetros JSON eram devidamente sanitizados e protegidos contra injeção. Porém, os nomes dos campos (as chaves do JSON) eram concatenados diretamente nas consultas SQL sem qualquer validação. Um atacante poderia enviar uma requisição com nomes de campos maliciosos, injetando comandos SQL arbitrários no banco de dados.

Essa é uma classe de vulnerabilidade que escapa dos testes padrão. Scanners convencionais testam valores de parâmetros, não nomes de campos. É como trancar todas as portas de uma casa e deixar as janelas abertas — a superfície de ataque era real, mas invisível para quem olhava nos lugares habituais.

O que foi exposto

A escala dos dados acessíveis era extraordinária:

  • 46,5 milhões de mensagens de chat em texto plano
  • 728 mil arquivos internos
  • 57 mil contas de usuários
  • 384 mil assistentes de IA configurados
  • 94 mil workspaces
  • 95 configurações de system prompts para 12 tipos de modelos
  • 3,68 milhões de chunks de documentos RAG (Retrieval-Augmented Generation)
  • 1,1 milhão de arquivos acessíveis via APIs externas, incluindo 266 mil+ vector stores da OpenAI

Mas o risco ia além da exfiltração de dados. Com esse nível de acesso, um atacante poderia:

  • Envenenar recomendações alterando modelos financeiros e documentos de referência
  • Exfiltrar dados através das próprias respostas da IA, de forma silenciosa
  • Remover guardrails dos modelos, eliminando filtros de segurança e compliance
  • Manter persistência silenciosa, alterando system prompts sem detecção

Como destacaram os pesquisadores: "AI prompts are the new Crown Jewel assets" — os prompts de IA são os novos ativos mais valiosos de uma organização.

Por que ferramentas tradicionais falharam

Este incidente ilustra uma lacuna estrutural na segurança cibernética atual. Plataformas de IA corporativas introduzem superfícies de ataque fundamentalmente diferentes das aplicações web tradicionais, e as ferramentas de segurança existentes não foram projetadas para cobri-las.

Gratuito

Está gostando deste conteúdo?

Inscreva-se na newsletter do IBGIA e receba análises como esta direto no seu email — além de um checklist gratuito com 20 itens de governança de IA.

Aspecto Segurança Tradicional Segurança Específica para IA
Superfície de ataque Parâmetros de URL, formulários, headers Chaves JSON, system prompts, RAG pipelines, vector stores
Ferramentas de teste OWASP ZAP, Burp Suite, scanners estáticos Agentes autônomos de segurança ofensiva, fuzzing semântico
Tipo de dados em risco Registros de banco, credenciais, PII Conversas de IA, prompts proprietários, modelos ajustados, embeddings
Impacto de comprometimento Vazamento de dados, interrupção de serviço Envenenamento de decisões, manipulação de conselhos estratégicos, persistência silenciosa
Detecção Logs de acesso, WAF, IDS Monitoramento de drift em prompts, auditoria de RAG, análise comportamental de IA

O fato de que um scanner como o OWASP ZAP — ferramenta padrão da indústria — não detectou a vulnerabilidade não é uma falha da ferramenta em si. É um sinal de que a categoria de risco mudou. Plataformas de IA criam camadas de complexidade (prompts, RAG, vector stores, orquestradores multi-modelo) que simplesmente não existiam quando essas ferramentas foram projetadas.

O que isso significa para governança de IA

O incidente da McKinsey Lilli valida uma tese que organizações como o IBGIA defendem: governança de IA não é apenas sobre ética e viés — é também sobre segurança e infraestrutura. A maioria dos frameworks de governança de IA existentes foca em transparência, fairness e accountability dos modelos, mas dedica pouca atenção à segurança da infraestrutura que sustenta esses modelos.

Este caso demonstra que:

  • Plataformas de IA são alvos de alto valor. Uma empresa como a McKinsey concentra décadas de conhecimento estratégico em sua plataforma de IA. O comprometimento desse sistema não é equivalente a um vazamento de emails — é potencialmente o comprometimento do capital intelectual inteiro da organização.
  • System prompts são ativos estratégicos. As 95 configurações de system prompts expostas representam a forma como a McKinsey estruturou seu conhecimento para 12 tipos diferentes de modelos. Isso é propriedade intelectual no mais alto grau.
  • A cadeia de suprimentos de IA introduz riscos sistêmicos. A integração com 266 mil+ vector stores da OpenAI significa que o comprometimento de uma plataforma pode criar efeitos em cascata através de APIs de terceiros.
  • Auditoria de segurança de IA precisa de ferramentas específicas. Se a McKinsey — que investe bilhões em tecnologia — não detectou essa falha com ferramentas tradicionais, empresas menores estão ainda mais expostas.

Lições para empresas brasileiras

O mercado brasileiro de IA corporativa está em expansão acelerada. Bancos, seguradoras, varejistas e empresas de saúde estão implantando plataformas internas de IA inspiradas exatamente no modelo da Lilli. O incidente da McKinsey oferece lições concretas:

  • Inclua IA no escopo de pentest. Testes de penetração tradicionais não cobrem superfícies de ataque específicas de IA. Exija que fornecedores de pentest testem system prompts, pipelines RAG, vector stores e integrações de modelos.
  • Classifique prompts como ativos sensíveis. System prompts, configurações de modelos e documentos do RAG devem ter o mesmo nível de proteção que código-fonte e segredos de negócio.
  • Monitore drift em prompts e guardrails. Implementar detecção de alterações não autorizadas em system prompts e configurações de modelos — equivalente ao monitoramento de integridade de arquivos, mas para IA.
  • Audite a cadeia de suprimentos de IA. Mapeie todas as integrações com APIs externas (OpenAI, Anthropic, etc.) e avalie o impacto de um comprometimento em cada ponto da cadeia.
  • Adote frameworks de governança que incluam segurança. O PL 2338/2023 e a regulamentação da ANPD devem ser complementados por políticas internas que tratem segurança de IA como pilar fundamental da governança.

O caso McKinsey é um alerta claro: a velocidade de adoção de IA corporativa está superando a capacidade das organizações de proteger esses sistemas. Governança de IA sem segurança de IA é governança incompleta.

Quer acompanhar análises sobre governança e segurança de IA?
Assine a newsletter do IBGIA para receber conteúdo especializado, ou associe-se ao instituto para participar da construção de referências em governança de inteligência artificial no Brasil.

Fonte: CodeWall.ai — How We Hacked McKinsey's AI Platform (publicado em 9 de março de 2026).

CompartilharLinkedInWhatsApp
Newsletter gratuita + checklist

Não perca as próximas análises

Assine a newsletter do IBGIA e receba artigos exclusivos, alertas regulatórios e análises sobre governança de IA. Ao se inscrever, você também recebe nosso Checklist de Governança de IA — um guia prático com 20 itens para avaliar a maturidade da sua organização.

100% gratuitoSem spam, cancele quando quiser

Pesquisa Nacional · 3 minutos

Contribua com o primeiro mapeamento independente de IA no Brasil

Respostas anônimas. Resultado público. Seu ponto de vista conta para moldar a regulação de IA no Brasil.

Responder pesquisa

Leia também

RegulaçãoColorado AI Act entra em vigor em 30 de junho: o espelho americano do que o Brasil enfrentará no PL 2338Em 60 dias, a primeira lei estadual de IA dos EUA passa a valer. Multa de US$ 20 mil por violação, obrigações para desen...Ler artigoAnáliseEngenheiros de IA como força de governança: a demissão de Caitlin Kalinowski e o surgimento de um novo atorA líder de robótica da OpenAI pediu demissão para não colaborar com armas autônomas. 30+ engenheiros assinaram carta de ...Ler artigoRegulaçãoAnthropic Processou o Pentágono para Proteger seus Guardrails — O Que Isso Muda para o Brasil?Em março de 2026, a Anthropic protocolou dois processos contra o Departamento de Defesa dos EUA...Ler artigo
Publicações acadêmicasWorking papers e policy briefs com análises aprofundadas
Voltar para o blog