Qualche volta il mondo della tecnologia produce episodi che sembrano piccoli incidenti tecnici ma in realtà funzionano come rivelatori chimici di un cambiamento molto più profondo. La presunta compromissione della piattaforma interna di intelligenza artificiale Lilli di McKinsey & Company appartiene probabilmente a questa categoria. Non tanto per la vulnerabilità in sé, che nella storia dell’informatica non rappresenta nulla di esotico, quanto per il modo in cui sarebbe stata individuata. Non un hacker umano chiuso in una stanza buia con tre monitor e caffeina industriale, ma un agente autonomo sviluppato da Codewall.AI che avrebbe impiegato circa due ore per mappare l’infrastruttura, identificare un punto debole e iniziare a estrarre dati. Due ore. Nel mondo enterprise, dove un audit di sicurezza spesso richiede settimane di riunioni, si tratta di un’unità di tempo quasi offensiva.
Lilli, per chi non vive immerso nella mitologia delle grandi società di consulenza, rappresenta uno degli esperimenti più ambiziosi di integrazione dell’intelligenza artificiale nella conoscenza aziendale. Lanciata nel 2023 e dedicata simbolicamente a Lillian Dombrowski, la prima donna professionista assunta da McKinsey nel 1945, la piattaforma è diventata in breve tempo una sorta di cervello digitale interno per oltre quarantamila dipendenti. Settantadue per cento di utilizzo interno non è una statistica banale. Significa che la maggioranza dei consulenti, dai junior analyst fino ai partner che decidono strategie miliardarie per governi e multinazionali, dialoga quotidianamente con questo sistema. Mezzo milione di prompt al mese non sono semplicemente numeri; sono frammenti di strategia, informazioni riservate, discussioni su fusioni, piani industriali, modelli di business e, occasionalmente, idee che valgono più di molte startup della Silicon Valley.
Il presunto attacco raccontato da Codewall è interessante perché non segue il cliché hollywoodiano dell’hacker geniale che scopre una singola falla spettacolare. Il processo descritto è invece sorprendentemente metodico, quasi burocratico, come se l’agente AI avesse seguito una checklist mentale da auditor digitale. Prima la mappatura della superficie di attacco, un termine che gli specialisti di sicurezza conoscono bene ma che nella pratica aziendale viene spesso trattato come un esercizio teorico. Poi l’analisi delle API pubblicamente esposte, una pratica che qualunque penetration tester umano farebbe quasi automaticamente. Infine l’individuazione di oltre duecento endpoint, la maggior parte protetti da autenticazione, ma non tutti.
Ventidue endpoint senza autenticazione. Numeri piccoli che spesso si nascondono tra migliaia di righe di codice e centinaia di microservizi. Basta uno.
Uno di questi endpoint scriveva nel database le query di ricerca degli utenti. Nulla di strano, direbbe qualsiasi ingegnere. Sistemi di logging e telemetria fanno esattamente questo. Il problema nasceva dal modo in cui le chiavi JSON venivano concatenate direttamente nelle query SQL. Le variabili erano parametrizzate, il che normalmente riduce drasticamente il rischio di injection. Le chiavi dei campi, tuttavia, venivano inserite nella query senza sanitizzazione. Una sottigliezza tecnica che ricorda una delle lezioni più vecchie dell’ingegneria del software: le vulnerabilità raramente nascono da errori giganteschi, ma quasi sempre da piccoli compromessi architetturali.
Qui entra in scena l’aspetto più interessante dell’intera vicenda. L’agente AI avrebbe eseguito una serie di tentativi di probing cieco, un processo iterativo che tradizionalmente richiede tempo, pazienza e una certa dose di intuizione umana. L’algoritmo ha invece automatizzato il ciclo di errore e correzione fino a ottenere risposte dal sistema di produzione. Secondo Codewall, nemmeno scanner tradizionali come OWASP ZAP avrebbero segnalato la vulnerabilità. Non sarebbe quindi stata una semplice scansione automatica, ma un processo adattivo, quasi esplorativo.
Quando si parla di sicurezza informatica aziendale, il dibattito pubblico tende a oscillare tra due estremi. Da un lato l’illusione che la tecnologia risolva tutto, dall’altro la narrativa catastrofista che dipinge internet come un campo minato permanente. La realtà, come spesso accade, è più prosaica. Le organizzazioni complesse accumulano inevitabilmente vulnerabilità nel tempo, soprattutto quando evolvono rapidamente. L’integrazione dell’intelligenza artificiale nei flussi aziendali ha accelerato questo fenomeno in modo quasi brutale. Sistemi di retrieval, pipeline RAG, orchestratori di agenti, connettori verso API esterne e repository documentali si sovrappongono creando architetture che nessun architetto software disegnerebbe da zero su un foglio bianco.
Secondo la disclosure di Codewall, l’agente avrebbe avuto accesso a una quantità di dati che farebbe tremare qualsiasi Chief Information Security Officer. Decine di milioni di messaggi di chat, centinaia di migliaia di file, decine di migliaia di account utente, configurazioni di modelli e prompt di sistema. Nel contesto delle piattaforme AI enterprise, i prompt rappresentano una nuova categoria di asset informativo. Non sono semplici input testuali. Spesso contengono istruzioni operative, logiche di business, regole decisionali. In altre parole, il DNA operativo dell’organizzazione.
Alcuni osservatori hanno immediatamente sottolineato un dettaglio che merita attenzione. Codewall vende strumenti di sicurezza offensiva basati su AI. In termini più diretti, dimostrare che un agente autonomo può compromettere una piattaforma complessa funziona anche come una forma piuttosto elegante di marketing. Nel settore della cybersecurity questo meccanismo è antico quanto internet. Società di sicurezza che pubblicano vulnerabilità spettacolari spesso coincidono con quelle che vendono la soluzione per evitarle.
Questa osservazione non invalida automaticamente la scoperta, ma introduce un elemento di prudenza analitica. Parte delle informazioni non è ancora stata verificata pubblicamente in modo indipendente. Alcuni report giornalistici hanno definito la vulnerabilità credibile, ma l’estensione completa dell’accesso ai dati non è stata confermata con prove pubbliche dettagliate.
Un CEO con qualche decennio di cicatrici tecnologiche sulle spalle riconosce immediatamente il pattern. Nuova tecnologia, entusiasmo organizzativo, implementazione accelerata e sicurezza che insegue. Silicon Valley chiama questo processo innovazione. I responsabili della sicurezza lo chiamano martedì mattina.
Il vero punto della storia non è quindi se Lilli sia stata effettivamente compromessa nella misura descritta. Il punto è il cambiamento strutturale nel modello di minaccia. Per trent’anni la cybersecurity è stata essenzialmente un gioco di velocità tra attaccanti umani e difensori umani assistiti da automazione. Gli attacchi sofisticati richiedevano competenze rare e tempo significativo. Il costo di ingresso per operazioni complesse era relativamente alto.
L’arrivo degli agenti autonomi cambia questa equazione.
Un sistema capace di esplorare autonomamente un’infrastruttura, generare ipotesi di attacco, testarle e adattarsi agli errori riduce drasticamente il costo marginale della scoperta di exploit. Un singolo attore può teoricamente orchestrare migliaia di tentativi paralleli. Non servono più squadre di hacker altamente specializzati; basta un’infrastruttura di agenti abbastanza intelligente da apprendere dall’ambiente.
Nel linguaggio economico, la barriera di ingresso per gli attacchi sofisticati si abbassa.
Una dinamica simile si è già vista nella storia tecnologica. Negli anni Novanta la creazione di malware richiedeva competenze relativamente elevate. Nei primi anni Duemila sono comparsi toolkit automatizzati che permettevano anche a criminali meno esperti di lanciare attacchi complessi. Il cybercrime è diventato industria.
L’AI agentica promette di fare lo stesso salto, ma su scala più ampia.
Molti dirigenti aziendali continuano a trattare l’intelligenza artificiale come una questione di produttività. Automazione dei processi, accelerazione dell’analisi dati, generazione di contenuti. Tutto vero, naturalmente. Tuttavia ogni nuova capacità computazionale produce inevitabilmente una capacità offensiva equivalente. La storia della tecnologia è piena di esempi di questo equilibrio perverso.
Claude Shannon, uno dei padri della teoria dell’informazione, diceva che ogni sistema di comunicazione introduce simultaneamente nuove opportunità di intercettazione. L’intelligenza artificiale enterprise introduce simultaneamente nuove opportunità di compromissione.
La lezione strategica è semplice ma spesso ignorata nelle sale riunioni. L’adozione dell’AI non può essere separata dalla sicurezza informatica. Le due dimensioni sono ormai inseparabili. Implementare agenti autonomi senza ripensare radicalmente l’architettura di sicurezza equivale a installare un motore da Formula Uno su un’utilitaria degli anni Novanta.
Funziona magnificamente. Fino alla prima curva.