Super-Hack: McKinsey in nur 2 Stunden von vollautomatischem KI-Agent geknackt, Vollzugriff auf Millionen sensibler Daten

Die McKinsey KI-Plattform Lilli wurde in nur 2 Stunden von einem autonomen KI-Hacking-Agenten geknackt.

Ein beispielloser Vorfall erschüttert die IT-Sicherheitsszene. Das Sicherheits-Startup CodeWall hat einen vollautomatischen KI-Agenten von der Leine gelassen, der sich völlig selbstständig ein Ziel suchte und fündig wurde. Das Opfer: Lilli, die interne KI-Plattform der weltgrößten Unternehmensberatung McKinsey. In weniger als zwei Stunden hatte der digitale Angreifer vollen Zugriff auf Millionen sensibler Daten und die Kern-Algorithmen der Plattform erlangt.

Ronald Matta, Veröffentlicht am 12.03.2026

AI Business Netzpolitik Fail Hack / Data Breach Security Software

Der Vorgang liest sich wie ein Drehbuch für einen Cyber-Thriller, passierte aber Ende Februar in der Realität. Die Sicherheitsexperten von CodeWall gaben ihrem Offensiv-Agenten keine Zugangsdaten, kein Insiderwissen und griffen auch nicht steuernd ein. Die KI suchte sich das Ziel selbst aus und begründete die Wahl mit der öffentlichen Responsible Disclosure Policy von McKinsey. Die Unternehmensberatung hatte das eigens entwickelte KI-Werkzeug Lilli im Sommer 2023 für seine über 40.000 Mitarbeiter ausgerollt. Das Tool analysiert interne Dokumente, liefert Strategien und verarbeitet monatlich über eine halbe Million Prompts.

Der Angriff von Codewall auf McKinsey lief laut den Forschern mit erschreckender Präzision ab. Der KI-Agent scannte die öffentlich zugängliche API-Dokumentation und entdeckte 22 Endpunkte, die komplett ohne Authentifizierung erreichbar waren. Einer dieser ungeschützten Endpunkte schrieb Nutzeranfragen direkt in die Datenbank. Der Agent erkannte eine klassische SQL-Injection, die herkömmliche Sicherheits-Scanner von McKinsey zuvor schlichtweg übersehen hatten. Durch systematisches Abtasten der Fehlermeldungen bahnte sich die Software den Weg ins Herz des Systems.

Innerhalb von zwei Stunden hatte der autonome KI-Agent vollen Lese- und Schreibzugriff auf die gesamte Produktionsdatenbank von McKinsey..

Die Ausbeute des Hacks ist massiv. Die CodeWall-KI sicherte sich Lese- und Schreibzugriff auf die gesamte Produktionsdatenbank. Darin lagen laut dem veröffentlichten Bericht 46,5 Millionen Chat-Nachrichten im Klartext, in denen Berater über Strategien, Finanzen und Übernahmen diskutierten. Hinzu kamen 728.000 Dokumente, darunter sensible PDFs und Excel-Tabellen, sowie die Daten von 57.000 Nutzerkonten.

Noch kritischer als der reine Datendiebstahl war jedoch der Schreibzugriff auf die sogenannten System-Prompts. Das sind die grundlegenden Anweisungen, die das Verhalten der McKinsey-KI steuern. Ein böswilliger Angreifer hätte diese Regeln laut CodeWall völlig geräuschlos umschreiben können. Die KI hätte daraufhin unbemerkt manipulierte Finanzmodelle ausspucken oder vertrauliche Firmendaten in ihre Antworten einbauen können, ohne dass ein Alarm ausgelöst worden wäre.

KI-Agent entdeckt die Möglichkeit zur SQL-Injection in ungeschütztem API-Endpunkt und erbeutet Daten von Zehntausenden Nutzern - klassische Scanner versagten dabei vollständig.

Das Startup meldete die katastrophale Sicherheitslücke am 1. März an McKinsey. Der Konzern reagierte umgehend. Gegenüber der Presse und in einer offiziellen Stellungnahme bestätigte das Unternehmen den Vorfall, betonte jedoch, man habe das Problem innerhalb weniger Stunden behoben. Eine interne Untersuchung, unterstützt durch externe Forensiker, habe zudem ergeben, dass weder Kundendaten noch vertrauliche Informationen durch unbefugte Dritte eingesehen wurden. Die IT-Systeme seien robust und der Schutz der anvertrauten Daten habe höchste Priorität.

CodeWall nutzt den Vorfall als drastische Warnung für die gesamte Branche. Angreifer nutzen zunehmend automatisierte Werkzeuge. Die Vorstellung, dass menschliche Hacker sich mühsam durch Firewalls tippen, veraltet rapide. Vollautomatische KI-Agenten, die in Maschinengeschwindigkeit Schwachstellen suchen, verketten und ausnutzen, werden zur neuen, gefährlichen Normalität im Cyberkrieg.