Hacker invadiu ‘chatbot’ interno da McKinsey e identificou documentos sensíveis

Uma empresa de cibersegurança diz ter conseguido invadir a plataforma de inteligência artificial (IA) generativa da McKinsey e descarregar 46,5 milhões de mensagens do sistema. As mensagens terão permitido identificar documentos sensíveis. O problema foi reportado à consultora pela própria empresa e a falha já foi corrigida.

O ‘ataque’ foi executado pela CodeWall, cujo seu fundador, Paul Price, é o único funcionário. Esta empresa dedica-se a usar agentes de inteligência artificial para descobrir falhas de cibersegurança noutras empresas, reportando-as, para que possam ser corrigidas.

Desta vez, o alvo do agente de IA da CodeWall foi o chatbot inteligente da McKinsey, chamado Lilli. “Em duas horas, o agente leu tudo e escreveu o acesso a toda a base de dados em produção”, garante a CodeWall, citada pelo Financial Times.

Segundo o FT, o chatbot Lilli é usado pelos 40 mil trabalhadores da McKinsey para planeamento estratégico, análise de dados e criação de projetos e apresentações. A CodeWall diz que, a partir das mensagens, foi possível identificar 728 mil ficheiros “sensíveis”, apesar de só ter acesso aos nomes dos mesmos.

Contactada pelo jornal britânico, a consultora confirmou que foi “recentemente alertada para uma vulnerabilidade” relacionada com a sua ferramenta de IA interna, Lilli, “por um investigador de segurança”. “Confirmámos prontamente a vulnerabilidade e resolvemos o problema em algumas horas”, sublinhou fonte oficial.

Este caso faz surgir dúvidas sobre os riscos associados aos esforços das empresas para adotarem rapidamente novas ferramentas de IA. Para a McKinsey, o caso representa também um embaraço, na medida em a empresa presta serviços de consultoria a outras empresas nos seus processos de adoção de IA.