Platforma ta AI este acum suprafata de atac

McKinsey a fost compromis in 2 ore. De un bot.

Pe 28 februarie 2026, startup-ul de securitate CodeWall a indreptat un agent AI autonom catre platforma AI interna a McKinsey, Lilli. Fara credentiale. Fara ajutor din interior. Fara ghidaj uman.

Doua ore mai tarziu, agentul avea acces complet de citire-scriere la baza de date de productie.

Pagubele? 46,5 milioane de mesaje de chat care acopereau strategie, tranzactii M&A si angajamente cu clientii. 728.000 de fisiere. 57.000 de conturi de utilizatori. 384.000 de asistenti AI. 94.000 de workspace-uri. Si partea cea mai grava: toate cele 95 de system prompts interne care guverneaza comportamentul chatbot-ului erau stocate in aceeasi baza de date. Un atacator ar fi putut sa le rescrie fara sa faca deploy la cod nou sau sa declanseze o singura alerta.

Vulnerabilitatea? SQL injection. Nu un zero-day. Nu un atac exotic de tip side-channel. SQL injection. Aceeasi clasa de bug despre care scriem articole din 2005.

McKinsey nu este un startup care ruleaza un proiect secundar. Este o firma de consultanta de 16 miliarde de dolari cu o echipa dedicata de tehnologie. Daca platforma lor AI a fost compromisa printr-un defect de baza in baza de date, ce spune asta despre a ta?

Numerele devin tot mai rele

Acesta nu este un incident izolat. Datele din Q1 2026 contureaaza o imagine clara: platformele AI sunt acum principala suprafata de atac pentru breșurile enterprise.

IBM 2026 X-Force Threat Intelligence Index a gasit o crestere de 44% a atacurilor care vizeaza aplicatii publice, determinata de lipsa controalelor de autentificare si descoperirea vulnerabilitatilor cu ajutorul AI. Exploatarea vulnerabilitatilor a devenit principala cauza a atacurilor, cu 40% din toate incidentele observate in 2025.

Peste 300.000 de seturi de credentiale ChatGPT au fost gasite promovate pe dark web, colectate de malware de tip infostealer. Nu sunt doar parole. Credentialele AI compromise le permit atacatorilor sa manipuleze output-uri, sa exfiltreze date de antrenament si sa injecteze prompt-uri in sisteme care alimenteaza decizii de business.

Palo Alto 2026 Unit 42 Global Incident Response Report a analizat peste 750 de incidente majore din peste 50 de tari. Vulnerabilitatile de identitate au jucat un rol material in aproape 90% din investigatii. In cele mai rapide cazuri, atacatorii s-au deplasat de la acces initial la exfiltrarea datelor in 72 de minute, de 4 ori mai rapid decat anul precedent. Iar 87% din atacuri s-au desfasurat pe mai multe suprafete de atac simultan.

Pattern-ul este clar. Platformele AI mostenesc fiecare problema de securitate pe care o au aplicatiile web traditionale, plus altele noi specifice AI: prompt injection, model poisoning, agent hijacking. Si cele mai multe companii nu testeaza pentru niciuna dintre ele.

De ce platformele AI se sparg diferit

Aplicatiile web traditionale au o suprafata de atac bine inteleasa. Stii unde sunt input-urile, unde stau datele, cum functioneaza autentificarea. Douazeci de ani de OWASP, instrumente SAST si teste de penetrare ne-au dat un playbook solid.

Platformele AI sparg acest model in trei moduri.

In primul rand, suprafata de date este masiva. Un chatbot AI care raspunde la intrebari despre datele companiei tale are acces implicit la tot ce se afla in setul de antrenament si in pipeline-ul de retrieval. Breșul McKinsey nu a avut nevoie sa compromita conturi individuale de utilizatori. O singura injectie SQL a dat acces la intregul knowledge graph pentru ca platforma AI era punctul de agregare pentru toate datele.

In al doilea rand, system prompts sunt atat cod cat si date. In cazul McKinsey, cele 95 de system prompts erau stocate in aceeasi baza de date ca si datele utilizatorilor. Nu exista separare intre "logica aplicatiei" si "continutul utilizatorilor" in majoritatea deployment-urilor AI. Rescrierea unui system prompt este echivalentul unui deploy de cod nou si nu necesita nici un pipeline CI/CD, nicio revizuire de cod, nicio aprobare de deployment.

In al treilea rand, agentii AI actioneaza autonom. Agentul CodeWall nu a urmat un script. A explorat, a sondat si a escaladat pe cont propriu. Exact asta fac si agentii AI legitimi, ceea ce inseamna ca nu poti distinge comportamentul autonom malitios de comportamentul autonom normal folosind monitorizarea traditionala. SIEM-ul tau vede aceleasi pattern-uri in ambele cazuri.

Ce trebuie facut

Daca firma ta ruleaza o platforma AI, fie interna (precum Lilli de la McKinsey), fie pentru clienti, iata ce trebuie sa se intample.

1. Ruleaza o evaluare de securitate specifica AI.

Nu un test de penetrare generic. O evaluare tintita care acopera:

• Prompt injection (directa si indirecta)
• Exfiltrarea datelor prin output-urile AI
• Extractia si manipularea system prompts
• Limitele de permisiuni ale agentilor
• Controalele de acces la datele din pipeline-ul RAG

Testele standard de penetrare pentru aplicatii web le rateaza pe toate.

2. Separa planul de date AI de planul de control.

System prompts, configuratiile modelelor si instructiunile agentilor nu trebuie sa fie niciodata in aceeasi baza de date cu datele utilizatorilor. Daca un atacator obtine acces de citire la conversatiile utilizatorilor, nu ar trebui sa obtina si acces de scriere la comportamentul AI-ului.

Iata un checklist minimal de arhitectura:

# AI Platform Security Checklist
data_plane:
  user_conversations: "separate database, encrypted at rest"
  uploaded_documents: "object storage with per-user ACLs"
  retrieval_index: "read-only from application tier"
 
control_plane:
  system_prompts: "version-controlled, deployed via CI/CD"
  model_configs: "infrastructure-as-code, immutable deployments"
  agent_permissions: "least-privilege, audited quarterly"
 
monitoring:
  prompt_injection_detection: "real-time input/output scanning"
  data_exfiltration: "output content classification"
  anomaly_detection: "agent behavior baseline + deviation alerts"

3. Trateaza credentialele AI ca active de nivel 1.

300.000 de credentiale ChatGPT pe dark web inseamna ca instrumentele tale AI sunt acum tinte de mare valoare pentru malware-ul de tip infostealer. Fiecare login SaaS AI, API key si cont de serviciu are nevoie de aceeasi protectie ca si credentialele bazei de date de productie: MFA, rotatie, monitorizare.

4. Presupune ca agentii AI vor fi folositi ca arme impotriva ta.

CodeWall a demonstrat ca agentii AI autonomi pot descoperi si exploata vulnerabilitati fara ghidaj uman. Platforma ta AI va face fata acestor atacuri. Construieste-ti apararea in jurul detectiei si continerii, nu doar al prevenirii.

Cum abordeaza DeviDevs aceasta problema

Urmarim spatiul securitatii AI de dinainte sa devina la moda sa vorbesti despre el. Breșul McKinsey a validat ceva ce le spunem clientilor de luni de zile: platforma ta AI nu este "doar inca o aplicatie web." Necesita un model de securitate diferit.

Rulam evaluari de securitate pentru platforme AI care acopera intreaga suprafata de atac, de la prompt injection la controale de acces la date si la limitele de permisiuni ale agentilor. Daca faci deploy AI intern sau construiesti produse bazate pe AI si nu ai testat specific pentru aceste riscuri, joci acelasi joc de noroc pe care il juca McKinsey.

Diferenta este ca McKinsey a avut parte de CodeWall ca cercetator prietenos. Urmatorul vizitator s-ar putea sa nu fie la fel de politicos.

Ceasul ticaie

In fiecare saptamana care trece, mai multi agenti AI sunt deployati, mai multe date trec prin platforme AI si mai multi atacatori invata cum sa le exploateze. Datele IBM X-Force arata ca aceasta tendinta se accelereaza, nu se stabilizeaza.

Daca firma de consultanta de 16 miliarde de dolari a McKinsey nu a putut securiza platforma lor AI impotriva unei injectii SQL de baza, probabil nu ar trebui sa presupui ca a ta este in siguranta. Testeaz-o. Repareaz-o. Inainte sa afle altcineva inaintea ta.

Despre DeviDevs: Construim platforme ML, securizam sisteme AI si ajutam companiile sa se conformeze cu EU AI Act. devidevs.com