Il mondo della consulenza strategica, da sempre pioniere nell’adozione e promozione delle più avanzate tecnologie, si è trovato dinanzi a un’amara lezione. McKinsey & Company, un colosso che non solo implementa soluzioni di intelligenza artificiale per le maggiori aziende globali ma ne ricava una parte significativa del proprio fatturato, ha recentemente sperimentato in prima persona la fragilità di questi sistemi complessi. La sua piattaforma interna di intelligenza artificiale, denominata ‘Lilli’, è stata violata in sole due ore da un agente autonomo creato da una piccola startup di sicurezza cibernetica, CodeWall. Questo incidente non è solo un campanello d’allarme per McKinsey, ma un monito severo per ogni organizzazione che naviga nell’era dell’AI.
Lilli: Il Cuore Pulsante dell’Intelligenza McKinsey
Lanciata nel 2023, la piattaforma Lilli è rapidamente diventata uno strumento indispensabile per McKinsey. Con oltre il 70% dei suoi oltre 43.000 dipendenti che la utilizzano quotidianamente per elaborare strategie, analizzare dati complessi e creare presentazioni dettagliate per i clienti, Lilli gestisce più di 500.000 richieste al mese. Non si tratta di un semplice chatbot, ma di un ecosistema avanzato che ospita 384.000 assistenti AI attraverso 94.000 spazi di lavoro, collegato a oltre 266.000 ‘vector store’ di OpenAI contenenti 1,1 milioni di file. Lilli incarna l’ambizione di McKinsey di ‘ricablare il modo di operare’ dell’azienda stessa, rappresentando un vero e proprio ‘gioiello della corona’ intellettuale della firm.
L’Attacco Fulmineo: Quando l’IA Incontra l’IA Offensiva
Il 28 febbraio 2026, un evento apparentemente tecnico ha scosso le fondamenta della reputazione di McKinsey. L’agente di sicurezza autonomo di CodeWall, operando con un budget di soli 20 dollari in token, ha ottenuto l’accesso completo in lettura e scrittura al database di produzione di Lilli in meno di due ore. La vulnerabilità non era una falla esotica o di ultima generazione, bensì una classica iniezione SQL, un difetto vecchio di decenni, sfruttato attraverso un endpoint API non protetto. Ciò che ha reso l’attacco particolarmente insidioso è stata la metodologia: l’agente di CodeWall ha eseguito quindici iterazioni ‘cieche’ di iniezione SQL, decifrando la struttura della query attraverso i messaggi di errore del database e scalando rapidamente i privilegi fino all’accesso completo. I tradizionali strumenti di sicurezza, inclusi scanner ampiamente utilizzati come OWASP ZAP, non sono riusciti a rilevarla. Questo episodio evidenzia una nuova frontiera nella guerra cibernetica: non più solo umani contro sistemi, ma intelligenze artificiali autonome che individuano e sfruttano le debolezze con velocità e creatività senza precedenti.
La Rivelazione Shock: Milioni di Dati Esposti e la Manipolazione dei Prompt
La portata della compromissione, sebbene McKinsey abbia rassicurato che i dati dei clienti non sono stati prelevati, è stata comunque vasta e profonda. L’agente di CodeWall ha avuto accesso a 46,5 milioni di messaggi di chat interni, 728.000 nomi di file (sebbene McKinsey sostenga che i file veri e propri fossero archiviati separatamente e non a rischio), 57.000 account utente e 3,68 milioni di blocchi di documenti RAG (Retrieval-Augmented Generation) che rappresentano decenni di ricerca e metodologie proprietarie di McKinsey. Ma l’aspetto più allarmante, considerato un vero e proprio ‘tesoro nascosto’, è stata la scoperta che i ‘system prompt’ di Lilli – le istruzioni fondamentali che governano il comportamento dell’AI – erano archiviati nello stesso database. Ciò significava che un attaccante, con accesso in scrittura, avrebbe potuto silenziosamente manipolare il comportamento dell’AI con una singola istruzione SQL UPDATE, senza richiedere modifiche di codice o attivare allarmi di sicurezza standard. Le implicazioni di una tale manipolazione sono severe: dall’avvelenamento di modelli finanziari all’alterazione delle raccomandazioni strategiche per i 43.000 utenti di Lilli.
La Risposta e le Ombre sulla Reputazione
McKinsey ha reagito prontamente, affermando di aver ricevuto la segnalazione di vulnerabilità da un ricercatore di sicurezza e di aver risolto il problema entro poche ore, bloccando tutti i punti di accesso esposti e disattivando l’ambiente di sviluppo entro il 2 marzo. La società ha inoltre dichiarato, supportata da una primaria società forense di terze parti, di non aver trovato prove che dati sensibili dei clienti siano stati effettivamente acceduti da terzi non autorizzati. Tuttavia, il danno reputazionale per un’azienda che si posiziona come leader e consulente indiscusso nell’era della trasformazione digitale e dell’IA è innegabile. Promettere soluzioni infallibili alle ‘blue-chip’ mondiali, per poi vedere il proprio ecosistema interno violato così rapidamente, ha creato un cortocircuito logico e commerciale significativo. Come sottolineato da alcuni osservatori, la sicurezza non è una presentazione PowerPoint, ma un sistema complesso e fragile.
Il Futuro della Sicurezza nell’Era dell’Intelligenza Artificiale
L’incidente di Lilli è un caso emblematico che ci spinge a riflettere su questioni cruciali che vanno oltre la singola falla tecnica. Innanzitutto, l’insufficienza degli strumenti di sicurezza tradizionali di fronte alle nuove superfici di attacco create dalle piattaforme AI. L’automazione spinta, pur promettendo efficienza, rischia di costruire ‘colossi dai piedi di argilla’ se non accompagnata da difese mature. In secondo luogo, il ruolo degli agenti AI offensivi che scelgono autonomamente i bersagli e sfruttano le vulnerabilità dimostra che la ‘guerra AI vs AI’ è già una realtà. Le imprese devono riconsiderare le loro strategie di difesa, adottando un approccio più continuo e avversariale ai test di sicurezza, piuttosto che affidarsi a scansioni periodiche. Infine, la questione della manipolazione dei prompt apre scenari inquietanti, trasformando una vecchia vulnerabilità (SQL injection) in una leva per la manipolazione silenziosa dell’IA a livello di comportamento. A ciò si aggiunge il crescente fenomeno della ‘Shadow AI’, dove i dipendenti utilizzano strumenti di intelligenza artificiale non approvati dall’azienda, ampliando ulteriormente la superficie di attacco e i rischi per la riservatezza dei dati. Questo episodio ci ricorda che l’innovazione tecnologica deve poggiare su infrastrutture sicure e testate, e non sull’urgenza di rincorrere le mode del momento, un errore che potrebbe rivelarsi sistemicamente costoso per l’intera economia digitale.
