Исследователи из CodeWall запустили автономного AI-агента и дали ему простую задачу — попробовать взломать внутреннюю AI-платформу McKinsey & Company под названием Lilli. Через 2 часа агент получил read-write доступ к продакшн базе. Что он нашёл внутри: — ~46,5 млн сообщений сотрудников — ~728 тыс. внутренних файлов — ~57 тыс. пользовательских аккаунтов — системные промпты, управляющие поведением AI И всё это лежало в одной базе. Самое ироничное — уязвимость была не какая-то новая «AI-магия», а классический SQL injection. Но есть важный нюанс. Поскольку system prompts тоже лежали в базе, атакующий мог не просто читать данные, а незаметно переписать поведение AI. Один SQL-запрос — и AI начинает давать другие рекомендации десяткам тысяч сотрудников. Например: — менять стратегические рекомендации — подмешивать внутренние данные в ответы — отключать guardrails — тихо вытаскивать данные через ответы модели И это особенно интересно, потому что prompt layer становится новой атакуемой поверхностью. Раньше мы защищали код, серверы, БД. Теперь нужно защищать ещё и промпты, потому что они управляют тем, что AI говорит людям. И да — McKinsey & Company закрыли уязвимость после disclosure. Но сам кейс — отличный пример того, как быстро компании внедряют AI и как медленно догоняет безопасность.