A McKinsey gosta de números quando eles contam a história certa. Quarenta por cento da receita da consultoria, segundo a própria firma, vem de projetos de iA. São 25 mil agentes construídos para 43 mil funcionários. A plataforma interna, batizada de Lilli, processa mais de 500 mil prompts por mês e serve como cérebro auxiliar para consultores que orientam governos e corporações sobre como adotar iA com segurança e eficácia. A narrativa é de competência técnica. De domínio do assunto. De quem sabe fazer. E então, em 28 de fevereiro de 2026, um pesquisador de segurança operando sozinho apontou um agente autônomo para o sistema. Em duas horas, tinha acesso completo de leitura e escrita ao banco de dados de produção. Custo da operação: vinte dólares em tokens.
A vulnerabilidade era SQL injection. Para quem não é do ramo, trata-se de uma técnica de invasão documentada desde 1998. Não é um ataque sofisticado de estado-nação, nem uma exploração inédita de dia zero. É o equivalente digital de deixar a porta dos fundos aberta com um bilhete dizendo “a chave está debaixo do tapete”. O Lilli expunha publicamente a documentação de sua API, com mais de 200 endpoints catalogados. Vinte e dois deles não exigiam qualquer autenticação. Em um desses endpoints, os valores das consultas ao banco estavam corretamente parametrizados, mas os nomes dos campos JSON eram concatenados direto na query SQL. Scanners convencionais, incluindo o OWASP ZAP, não detectaram o problema. O agente da CodeWall encontrou em quinze iterações cegas, cada mensagem de erro revelando mais da estrutura interna, até que dados de produção começaram a retornar.
A escala do que ficou exposto, segundo o relatório da CodeWall, merece atenção. O agente teria acessado 46,5 milhões de mensagens de chat sobre estratégia, fusões e aquisições, e projetos com clientes. Todas em texto aberto (a CodeWall não publicou os payloads exatos, e analistas independentes observaram que o escopo reivindicado não foi integralmente evidenciado). Somam-se 728 mil nomes de arquivos sensíveis, 57 mil contas de usuários, 384 mil assistentes de iA, 94 mil espaços de trabalho e 3,68 milhões de fragmentos de documentos que alimentavam o sistema de recuperação do Lilli (décadas de pesquisa proprietária, metodologias e modelos de trabalho da consultoria). O achado mais grave, porém, era estrutural: os system prompts que governavam o comportamento da iA estavam armazenados no mesmo banco de dados comprometido. Com acesso de escrita, um atacante poderia reescrever silenciosamente as instruções que moldavam as respostas do Lilli para dezenas de milhares de consultores. Sem deploy, sem alteração de código, sem registro de auditoria. Um comando UPDATE numa única requisição HTTP.
A McKinsey reagiu rápido. Corrigiu os endpoints em horas, tirou do ar o ambiente de desenvolvimento, contratou firma forense terceirizada. O comunicado oficial, publicado em 11 de março, tem quatro frases e uma construção cuidadosa: a vulnerabilidade foi confirmada e corrigida, a investigação não encontrou evidências de que dados de clientes foram acessados, os sistemas de segurança são robustos. A resposta é um caso de manual de gestão de crise corporativa (a McKinsey, afinal, ensina seus clientes a fazer exatamente isso). Mas o comunicado não enfrenta a pergunta incômoda: como uma falha conhecida há quase três décadas sobreviveu dois anos em produção numa empresa que cobra para orientar outras sobre segurança tecnológica.
Há um detalhe que merece ser lido duas vezes. O agente da CodeWall escolheu a McKinsey como alvo de forma autônoma. Sem instrução humana direta. Avaliou a política de divulgação responsável da firma na plataforma HackerOne, identificou atualizações recentes no Lilli como indicativo de nova superfície de ataque, e decidiu que valia a pena investigar. iA atacando iA. Uma simetria que seria cômica se as implicações não fossem sérias. Paul Price, fundador da CodeWall e ex-consultor de cibersegurança da Schillings, disse ao The Register que o processo foi integralmente autônomo: pesquisa do alvo, análise, ataque e relatório. A CodeWall, vale dizer, é uma empresa em fase de pré-lançamento que usou a McKinsey como cartão de visita. O marketing do incidente é tão calculado quanto o ataque.
O que o episódio expõe não é propriamente uma falha da McKinsey. É a distância entre o slide de consultoria e a engenharia de produção. Rajat Rai, diretor de segurança da Dream11, observou que o problema de base não era uma vulnerabilidade de iA: documentação exposta, endpoints sem autenticação, SQL injection por concatenação de chaves JSON. Falhas convencionais de segurança de aplicações que, por acidente de arquitetura, alcançaram um sistema de iA. A diferença é que, quando a infraestrutura ao redor de um modelo de linguagem é comprometida, o raio de impacto se multiplica. Reescrever um prompt não é roubar um dado. É reprogramar o comportamento de uma ferramenta que influencia decisões estratégicas em escala.
O dado mais perturbador desta história não é a invasão em si. É a aritmética. Vinte dólares e duas horas contra uma consultoria com faturamento anual de bilhões, equipes de tecnologia de nível global e o mandato explícito de ensinar o mundo a usar iA com responsabilidade. Se a casa do ferreiro opera com espeto de pau, a pergunta que resta não é sobre a McKinsey. É sobre todas as outras.
Referência: McKinsey & Company. “Statement on Strengthening Safeguards Within the Lilli Tool.” 11 mar. 2026. https://www.mckinsey.com/about-us/media/statement-on-strengthening-safeguards-within-the-lilli-tool
ousadia criativa. precisão estratégica. – por kim