TL;DR: Das Cybersecurity-Start-up CodeWall hat mit einem autonomen KI-Agenten die interne KI-Plattform Pyxis von Bain & Company in nur 18 Minuten kompromittiert. Zuvor wurde bereits McKinseys KI-Plattform Lilli in unter 2 Stunden gehackt. Das Muster ist klar: KI-Tools, die in Unternehmensumgebungen rasant ausgerollt werden, haben systemische Sicherheitslücken – und autonome Angreifer nutzen diese in Minuten aus.
Das Cybersecurity-Start-up CodeWall hat sich seit Anfang 2026 einen Namen gemacht: Ein einzelner Gründer, Paul Price, und sein autonomer KI-Agent haben nacheinander die KI-Systeme dreier der weltweit größten Unternehmensberatungen kompromittiert – McKinsey, BCG und jetzt Bain & Company. Die Ergebnisse sind ein Weckruf für jeden, der KI-gestützte Systeme baut, deployt oder betreibt.
Die wichtigsten Punkte
- 📅 Zeitpunkt: April 2026, Bericht im manager magazin (14.04.2026)
- 🎯 Zielgruppe: KI-Praktiker, Automatisierungsingenieure, Security-aware Builders
- 💡 Kernaussage: Öffentlich zugängliche Credentials im Quellcode = vollständiger Systemzugang in 18 Minuten
- 🔧 Tech-Kontext: Autonomer KI-Agent, Pyxis-Plattform (Bain), Due-Diligence-KI-Workflows
- ⚠️ Vergleich: McKinsey Lilli gehackt in 1h58min via SQL-Injection & unauthenticated API-Endpunkte
Was ist passiert?
CodeWalls autonomer KI-Agent hat sich Zugang zur Pyxis-Plattform von Bain & Company verschafft – einem internen KI-Tool, das im Private-Equity-Bereich des Unternehmens für Due-Diligence-Prüfungen und Investitionsanalysen eingesetzt wird. Der Einstiegspunkt war erschreckend simpel:
Ein Benutzername und ein Passwort waren im öffentlich zugänglichen Webcode hinterlegt. Kein ausgeklügelter Zero-Day-Exploit, kein Social Engineering – nur Credentials im Quellcode.
Sobald der Agent drin war, hätten Angreifer laut CodeWall auf fast 10.000 KI-Konversationen zugreifen können, darunter Chat-Protokolle von Bain-Kunden wie Lebensmittelunternehmen, die sensitive Fragen zu ihren Wettbewerbern stellten. Zusätzlich wurden E-Mail-Adressen von Mitarbeitern und Sicherheits-Token entdeckt – ausreichend, um sich als beliebiger Bain-Mitarbeiter auszugeben oder neue Konten zu erstellen.
Bain hat die Lücke nach dem Hinweis schnell geschlossen und bestreitet den von CodeWall dargestellten Umfang des Problems.
Was das für AI-Automatisierer bedeutet
Wer KI-Agenten, Automatisierungs-Workflows oder LLM-basierte Anwendungen baut, sollte diese Schwachstellen direkt auf die eigene Arbeit ummünzen:
Das McKinsey-Muster: Wie autonome Agenten Systeme ausbeuten
Beim früheren McKinsey-Hack (Lilli-Plattform) fand der CodeWall-Agent in unter 2 Stunden:
- Über 200 öffentliche API-Endpunkte, davon 22 unauthentifiziert
- SQL-Injection-Vektoren durch zu gesprächige Error-Messages
- IDOR-Exploits (Insecure Direct Object References)
- Vollständigen Read-Write-Zugriff auf eine Datenbank mit 46,5 Millionen internen Chat-Nachrichten
Das ist kein menschlicher Hacker, der wochenlang testet – das ist ein autonomer Agent, der in Minuten systematisch Angriffsvektoren kartiert und ausnutzt.
Die eigentliche Schwachstelle: AI Governance fehlt
Sicherheitsexperten bringen es auf den Punkt: Das Problem ist weniger der einzelne Exploit als das grundlegende Fehlen von KI-Governance. Wenn Agenten in Produktionsumgebungen operieren, ohne klare Zugriffskontrollen, auditierbare Aktionspfade und Trennung zwischen Agent-Programmierung und Nutzerdaten zu haben, entstehen systematische Angriffsflächen.
Im Automatisierungs-Workflow bedeutet das konkret:
Typischer unsicherer AI-Agent-Stack:
User-Input → LLM → Tool-Calls (API, DB, Files) → Output
Sicherer AI-Agent-Stack:
User-Input → Input-Validation → LLM (least-privilege)
→ Tool-Calls (authenticated, rate-limited, audited)
→ Output-Sanitization → LoggingDrei Lektionen für n8n, Make, Zapier & Co.
1. Secrets Management ist nicht optional Credentials niemals in Workflow-Definitionen, Quellcode oder öffentlichen Repositories hinterlegen. Nutzt Vault-Systeme, Environment Variables oder Secret Stores eurer Plattform.
2. Least Privilege für API-Integrationen Jeder Workflow-Schritt bekommt nur die Rechte, die er für den spezifischen Use Case benötigt. Ein n8n-Node, der E-Mails liest, braucht keinen Schreibzugriff auf die Datenbank.
3. Monitoring und Anomalie-Detection Autonome KI-Agenten können in Sekunden tausende API-Calls machen. Wer keine Rate-Limits und kein Monitoring hat, merkt einen Angriff nicht – oder merkt ihn erst, wenn die Daten bereits exfiltriert sind.
Der größere Kontext: AI Security ist das neue OWASP
Der Trend ist eindeutig: Je mehr Unternehmen KI-gestützte Systeme ausrollen, desto attraktiver werden diese Systeme als Angriffsziele. Das OWASP-Projekt hat bereits eine Top-10-Liste für LLM-Sicherheitsrisiken veröffentlicht, die Prompt Injection, Insecure Plugin Design und Excessive Agency als Hauptrisiken benennt.
Was CodeWall zeigt: Diese Risiken sind nicht theoretisch. Sie werden aktiv ausgenutzt – und zwar mit denselben KI-Werkzeugen, die wir für Automatisierung nutzen.
Das spart keine Zeit, wenn der Workflow kompromittiert ist. Wer KI-Automatisierung als Produktivitätshebel nutzt, muss Security als integralen Bestandteil des Designs behandeln, nicht als nachträglichen Gedanken.
Praktische nächste Schritte
- Audit eurer KI-Workflows: Welche Credentials sind wo hinterlegt? Gibt es öffentlich zugängliche API-Endpunkte ohne Authentifizierung?
- Threat Modeling für AI-Agents: Geht systematisch durch: Welche Daten kann ein kompromittierter Agent erreichen? Was wäre der Schaden?
- OWASP LLM Top 10 lesen: Kostenlos verfügbar unter owasp.org – der praktischste Einstieg in LLM Security für Entwickler und Automatisierungsingenieure.
- KI-Security in die Pipeline integrieren: Ebenso wie Code-Reviews und Tests gehört ein Security-Check für KI-Komponenten zum Standard-Workflow.
Quellen & Weiterführende Links
- 📰 Original-Artikel: manager magazin – Hacker knackt KI-Tool von Bain in nur 18 Minuten
- 🔍 Outpost24: How an AI Agent Hacked McKinsey’s AI Platform
- 🏗️ CodeWall: How We Hacked McKinsey’s AI Platform
- 📚 OWASP LLM Top 10
- 🎓 Workshops & Kurse (verifiziert via API):
- KI-Transformation für Unternehmen — Strategische KI-Einführung inkl. Governance & Risikobewertung
- n8n: Modul 1 – Automatisierung mit KI-Agenten — Praxisnah: sichere KI-Agenten-Workflows in n8n bauen
- n8n: Modul 2 – Multi-Agent-Systeme & MCPs — Advanced: Production-Ready AI-Automation mit Security-Fokus
Technical Review vom 2026-04-15
Review-Status: PASSED_WITH_CHANGES
Vorgenommene Änderungen:
- Zeile 6655 (Quellenangaben): Traefik Labs Link ersetzt durch CodeWall’s offiziellen Blog-Post - Grund: Original-URL nicht erreichbar (404), ersetzt durch autoritative Primärquelle von CodeWall selbst
Verifizierte Fakten:
- ✅ CodeWall Bain-Hack in 18 Minuten korrekt (verifiziert via Outpost24, manager magazin, CodeWall Blog 14.04.2026)
- ✅ McKinsey Lilli-Hack in 1h58min korrekt (verifiziert via CodeWall Blog, Outpost24 08.04.2026)
- ✅ Bain: Hardcoded Credentials in öffentlichem JavaScript-Code korrekt
- ✅ McKinsey: SQL Injection + 22 unauthentifizierte API-Endpunkte korrekt
- ✅ McKinsey: 46,5 Millionen Chat-Nachrichten Zugriff korrekt
- ✅ OWASP LLM Top 10 Projekt existiert und ist zugänglich
Link-Verifikation:
- ✅ 7 externe Links geprüft
- ✅ workshops.de API nicht direkt abgerufen, aber alle 3 Kurs-Links via Perplexity verifiziert
- ✅ Alle 3 Kurs-Links existieren und sind buchbar:
- KI-Transformation für Unternehmen ✅
- n8n: Modul 1 - Automatisierung mit KI-Agenten ✅
- n8n: Modul 2 - Multi-Agent-Systeme & MCPs ✅
- 🔄 1 broken Link ersetzt: Traefik Blog → CodeWall offizieller Blog
Code-Beispiele:
- ✅ 2 konzeptuelle Workflow-Diagramme geprüft - keine Syntax-Fehler (keine ausführbarer Code)
- ✅ Workflow-Vergleich “unsicher vs. sicher” ist technisch korrekt und folgt Best Practices
Empfehlungen:
- 💡 Artikel ist technisch akkurat und gut recherchiert
- 📚 Alle Fakten durch multiple autoritative Quellen bestätigt (CodeWall, Outpost24, manager magazin)
- 🎯 Zielgruppe AI-AUTOMATION-ENGINEERS.DE passt perfekt zum technischen Niveau