AI Governance & Beveiliging

Twee uur. 46 miljoen berichten. Dit is geen moment voor leedvermaak.

14 min leestijd · Door Jeroen Janssen · Read in English

Last updated: April 2, 2026Laatst bijgewerkt: 2 april 2026

Begin maart 2026 maakte beveiligingsbedrijf CodeWall bekend dat hun autonome AI-agent volledig toegang had verkregen tot Lilli, het interne AI-platform van McKinsey & Company. Zonder inloggegevens. Zonder insider-kennis. Binnen twee uur.

46,5M
chatberichten
728K
bestanden
57K
gebruikers­accounts
384K
AI assistants
95
schrijfbare system prompts
2 uur
duur van de aanval
Achtergrond

Wat is Lilli?

Lilli is McKinsey’s interne generatieve AI-platform, gelanceerd in augustus 2023 voor meer dan 43.000 medewerkers. Het platform doorzoekt meer dan 40 kennisbronnen: case studies, white papers, interview-transcripten, interne analyses, en retourneert de vijf tot zeven meest relevante documenten, inclusief een samenvatting en een overzicht van interne experts. Meer dan 500.000 prompts per maand, gebruikt door zo’n 72 procent van het bedrijf.

Het platform is vernoemd naar Lillian Dombrowski, de eerste vrouwelijke professional die McKinsey in dienst nam, in 1945. Zij wordt beschreven als nimble, flexible, and thorough. Op de dag van de disclosure stond op McKinsey’s eigen website: “colleagues can engage with Lilli confident that all interactions and data are secure.”

Het bouwen van Lilli kostte een team van meer dan 70 experts. De aanval erop kostte twee uur.

Alles leesbaar, deels aanpasbaar, alles in plaintext. McKinsey’s reactie aan The Register: “Our investigation identified no evidence that client data was accessed.” Op hun eigen website staat nog steeds: “colleagues can engage with Lilli confident that all interactions and data are secure.”

Beiden kunnen technisch juist zijn. Maar dat is niet het punt.

Een eerlijke kanttekening CodeWall verkoopt offensive AI security tools. Dit onderzoek is ook een productdemo. Dat maakt de bevindingen niet automatisch onjuist; onafhankelijke berichtgeving beschrijft de kwetsbaarheid als technisch geloofwaardig, maar het betekent wel dat de claims met die context gelezen moeten worden. De volledige omvang van de impact is publiekelijk nog niet volledig aangetoond. Wij nemen die nuance mee. Dat is precies wat adversarial review vereist: ook de bron van een bevinding kritisch wegen.

1. Door de bomen het bos niet meer: wie vertelt jou wanneer je beveiliging op orde is?

Als organisatie in Nederland heb je te maken met een stapeling van eisen. De AVG verplicht passende technische en organisatorische maatregelen. BIO2 stelt baseline-beveiligingsnormen voor overheidsorganisaties. NIS2 verplicht middelgrote en grote organisaties in kritieke sectoren tot aantoonbare risicobeheersing en meldplicht binnen 24 uur. De EU AI Act voegt er vanaf 2025 specifieke eisen aan toe voor hoog-risicosystemen. ISO 27001 biedt een certificeerbaar kader. DORA geldt voor financiële instellingen. En dan zijn er nog de sectorspecifieke richtlijnen van DNB, ACM en RDI.

De vraag is niet of al deze kaders zinvol zijn. Dat zijn ze. De vraag is: wie integreert ze, wie test of ze werken, en wie is eerlijk genoeg om te zeggen dat het papieren compliance is in plaats van werkelijke weerbaarheid?

McKinsey had interne scanners. Twee jaar lang. Ze vonden niets.
Een externe partij met een autonome agent vond het in twee uur.

Compliance is niet hetzelfde als veiligheid. Een risicoregister is niet hetzelfde als een risicotest. Een auditrapport dat zegt dat de beheersmaatregelen aanwezig zijn, zegt niets over of ze stand houden onder druk van een echte aanval. Organisaties die dit onderscheid niet maken, bouwen een gevoel van zekerheid dat precies verkeerd is: het dempt de urgentie terwijl het risico blijft bestaan.

“If an autonomous agent started to explore our estate right now, what signals would we see first, and how fast? If the honest answer is ‘we don’t know’, then we don’t have an AI platform, we have an AI-shaped risk surface.”
Marcos Ráyol, CTO | Technology & Digital Transformation, in een LinkedIn-reactie op het incident

Dat is de juiste testmaatstaf. Niet: hebben wij een ISO 27001-certificaat? Maar: wat zien wij als eerste als iemand begint te zoeken?

2. Agentic AI: de aanvaller die nooit moe wordt

Traditioneel hacken vereist tijd, kennis, focus en geduld. Een menselijke aanvaller maakt fouten, laat sporen achter, slaapt, geeft op. Agentic AI doet dat niet.

CodeWall’s agent deed het volgende, volledig autonoom: het selecteerde McKinsey als doelwit op basis van publiek beschikbare informatie, analyseerde de aanvalsoppervlakte, identificeerde 200 API-endpoints waarvan 22 zonder authenticatie, herkende een SQL-injectiepatroon in JSON keys dat standaardtools niet flaggen, voerde vijftien iteraties uit op basis van foutmeldingen, escaleerde stapsgewijs toegang, en documenteerde 27 bevindingen inclusief bewijs.

Twee uur. Zonder menselijke tussenkomst na de start.

De bredere implicatie is niet dat McKinsey nalatig was. Het is dat het dreigingsmodel fundamenteel veranderd is. Waar organisaties vroeger konden rekenen op de schaarste van aanvallerscapaciteit: een geavanceerde aanval kost tijd en expertise — maar dat geldt niet meer. Agentic AI democratiseert geavanceerde aanvalscapaciteit. Een kwaadwillende actor met toegang tot vergelijkbare tooling kan zonder diepgaande technische kennis continue, geduldige, systematische verkenning uitvoeren op alle organisaties tegelijkertijd.

De aanvaller die nooit moe wordt, zoekt net zo lang tot er één gaatje is. En er is altijd een gaatje.

3. Geen social engineering nodig: de aanval was puur architecturaal

Bij veel spraakmakende hacks is de zwakste schakel een mens: een medewerker die op een phishingmail klikt, een wachtwoord deelt, of een USB-stick aansluit die hij op de parkeerplaats vond. Wat opvalt aan de McKinsey-hack is dat social engineering volledig ontbrak. Er was geen phishing, geen manipulatie, geen menselijke interactie. De agent opereerde puur op basis van wat publiek beschikbaar was: API-documentatie, endpoint-gedrag, foutmeldingen.

Dat verandert de verdedigingslogica. Security awareness-trainingen hadden dit niet voorkomen. Multi-factor authenticatie op gebruikersaccounts ook niet. De kwetsbaarheid zat vóór authenticatie, in de laag van unauthenticated endpoints en database-architectuur.

“The values were parameterized but the JSON keys weren’t. That’s exactly the kind of half-implementation that gives false confidence. Traditional scanners were never designed for this attack surface.”
Nil Monfort, AI Engineer & Cloud Architect, in een LinkedIn-reactie op het incident

De technische kern: de parameterwaarden in de SQL-queries waren beveiligd, maar de JSON keys — de veldnamen — niet. Standaard beveiligingsscanners zijn niet voor dit aanvalsoppervlak ontworpen. OWASP ZAP flagde het niet. De interne scanners ook niet. Alleen een agent die buiten het verwachte patroon redeneerde, vond het.

Dit is de blinde vlek van veel beveiligingsprogramma’s: ze zijn sterk in het adresseren van de menselijke factor en zwak in het systematisch testen van de architecturale aanvalslaag — zeker bij AI-platforms, waarvan de security-volwassenheid structureel achterblijft bij de adoptiesnelheid.

4. Als het toch misgaat: governance onder druk

Stel dat het jouw organisatie overkomt. Klantdata — gesprekken, documenten, strategische informatie — is toegankelijk geweest voor een onbevoegde partij. Hoe reageer je?

Snel handelen op de kwetsbaarheid zelf is essentieel en McKinsey deed dat goed: binnen 24 uur na melding waren de unauthenticated endpoints dichtgezet, de API-documentatie offline gehaald en de ontwikkelomgeving afgesloten. Dat is de technische respons.

Maar de governance-respons is een ander verhaal. Onder de AVG geldt een meldplicht bij de Autoriteit Persoonsgegevens binnen 72 uur als de inbreuk risico’s oplevert voor betrokkenen. Als er persoonsgegevens van medewerkers of cliënten in het geding zijn — en 57.000 gebruikersaccounts en 46,5 miljoen chatberichten suggereren van wel — dan is die afweging niet optioneel. Ze is verplicht en gedocumenteerd te maken. Publiek is nooit bevestigd of McKinsey deze melding heeft gedaan bij de relevante Europese toezichthouders.

43.000 medewerkers die dagelijks met Lilli werken. Ze weten niet of hun gesprekken zijn ingezien. Ze weten niet of de instructies die Lilli geeft integere instructies zijn, of instructies die door een aanvaller zijn aangepast via de 95 schrijfbare system prompts. En ze hebben geen enkele officiële communicatie ontvangen.

Dat is geen technisch falen. Dat is een governance-falen. En het is precies het type falen dat het meest schade oplevert: niet in de aanval zelf, maar in de maanden erna, als het vertrouwen structureel beschadigd blijkt.

5. De schaduwkant van ethical hacking als marketing

CodeWall heeft een legitiem en waardevol product: geautomatiseerde offensive security tooling. En hun onderzoek naar Lilli is — voor zover publiekelijk aangetoond — technisch geloofwaardig. Responsible disclosure is gevolgd: McKinsey werd op 1 maart geïnformeerd en had acht dagen om te patchen voor publieke bekendmaking op 9 maart.

Maar er is een grens tussen responsible disclosure en reputationele leverage, en die grens is hier dun. De publicatie bevat gedetailleerde aanvalssequenties, screenshots van bewijs, en de expliciete vermelding van McKinsey als doelwit — met een productlink aan het einde. Dat is een businessmodel dat afhankelijk is van de bereidheid om slachtoffers publiek te benoemen. De impliciete boodschap aan andere potentiële doelwitten: jullie zijn volgende, tenzij.

De les is niet dat CodeWall slecht handelde. De les is dat de dreiging tegenwoordig ook van legitieme partijen kan komen. En dat het hebben van een goede relatie met een security-leverancier geen garantie is dat die leverancier jou niet als demonstratiemateriaal gebruikt.

6. McKinsey is de voorbode, niet de uitzondering

McKinsey is de meest zichtbare naam in dit incident. Maar het zou een vergissing zijn om dit te lezen als een verhaal over McKinsey.

EY, KPMG, Deloitte, BCG, Accenture: zij bouwen allemaal interne AI-platforms, RAG-systemen over hun kennisbase, agent-workflows voor hun consultants. Ze doen dat met dezelfde snelheid, dezelfde druk om te leveren, en dezelfde neiging om security als tweede prioriteit te behandelen na functionaliteit. Wie denkt dat hun architectuurkeuzes fundamenteel anders zijn dan die van Lilli, onderschat hoe universeel dit probleem is.

En dan zijn er de duizenden kleinere spelers. Accountantskantoren die met jaarrekeningen, belastingdata en strategische informatie van hun klanten werken. IT-dienstverleners die toegang hebben tot de productiesystemen van tientallen opdrachtgevers. Juridische kantoren met due diligence-documenten en M&A-informatie. Middelgrote adviesbureaus die hun kennis centraliseren in een intern AI-systeem omdat hun grote concurrent dat ook doet.

Al deze organisaties zitten op een aanvalsoppervlak dat groeit terwijl hun beveiligingsinvestering achterblijft. En anders dan McKinsey hebben zij geen team van 70 engineers op hun platform zitten, geen forensisch bureau on-call, geen CISO met de capaciteit om in 24 uur te patchen.

De vraag is niet of jouw organisatie aan de beurt is. De vraag is wanneer, en of je het merkt voordat een ander het meldt.

7. Wat wij leerden: een update van de AI Control Index

Als applied AI science-initiatief beschouwen we elk significant incident als een testcase voor het eigen framework. Het McKinsey-incident leverde drie concrete bevindingen op.

Apparens AI Control Index: Incident Review

Gedekt Twee kritieke kwetsbaarheden waren direct vindbaar

LLM07 (System Prompt Leakage) vereist expliciet dat system prompts worden opgeslagen in een access-controlled registry, gescheiden van operationele data — precies wat Lilli niet had. LLM02 (Sensitive Information Disclosure) vereist data classification policies en een classification ceiling op RAG-bronnen. De 46,5 miljoen plaintext chatberichten zonder toegangscontrole is een directe LLM02-bevinding. Beide hadden in een control review een pre-deployment gate geblokkeerd.

Gedeeltelijk Input validation was te smal gespecificeerd

L3 (AI Engineering) vereist input validation in CI/CD pipelines als gate voor LLM01. Maar de specificatie richt zich op input values — de data die een gebruiker invoert. De JSON key SQL injection exploiteerde de veldnamen in de request-structuur, niet de inhoud. Standaard SAST/DAST-tooling mist dit. Het framework miste het ook. De gate wordt aangescherpt: input validation moet expliciet alle SQL-gebonden parameters omvatten, inclusief structuurelementen als keys, field names en query-parameters.

Nieuw: AGT-07 Externe autonome verkenning ontbrak als dreigingsmodel

De Agentic Pack modelleert dreigingen van binnenuit: prompt injection via gebruikersinput, excessive agency van een gedeployed agent. Wat ontbrak: een externe autonome agent die van buitenaf systematisch het aanvalsoppervlak verkent, endpoint-gedrag analyseert, foutmeldingen interpreteert en iteratief escaleert, zonder ooit geauthenticeerd te zijn.

Wij voegen AGT-07 toe: External Autonomous Reconnaissance Defense. De gate vereist (1) een geauthenticeerde endpoint-inventarisatie als pre-deployment check, waarbij alle unauthenticated paths expliciet gerechtvaardigd of verwijderd zijn; (2) rate limiting en anomaly detection op verkenningspatronen in productie; en (3) suppressie van informatierijke foutmeldingen op publiek toegankelijke endpoints.

Dit is geen theoretische toevoeging. Het is een directe les uit een gedocumenteerd incident. Zo werkt applied science.

8. Wat je nu moet doen als je eigen Lilli in de maak is

Veel Nederlandse overheidsorganisaties en grote dienstverleners zijn op dit moment bezig met precies dit soort platform: een interne kennisbot, een RAG-systeem over de eigen documentenopslag, een AI-assistent voor medewerkers. Soms al in productie, soms in pilotfase, soms nog in architectuurontwerp.

De eerlijke conclusie na het Lilli-incident is hard: als McKinsey dit overkomt — met een team van meer dan 70 engineers, met QuantumBlack als in-house AI-divisie, met twee jaar interne security-scans — dan is de kans reëel dat jouw versie van Lilli het ook niet haalt. Niet omdat jouw mensen onbekwaam zijn. Maar omdat dit type kwetsbaarheid structureel wordt gemist door conventionele testmethoden, en omdat de drempel voor een agentic aanvaller inmiddels zo laag is dat wachten op een incident geen strategie meer is.

Als je nu een intern AI-platform in ontwikkeling hebt, is de meest verantwoorde beslissing die je kunt nemen: pauzeer de uitrol. Niet voor altijd. Maar lang genoeg om drie dingen op orde te brengen.

01

Laat je systeem testen door een partij die aanvalt zoals een aanvaller dat doet

Niet een compliance-audit. Niet een kwetsbaarhedenscan met geautomatiseerde tooling. Een echte aanvalssimulatie, gericht op de specifieke eigenschappen van AI-platforms: unauthenticated endpoints, prompt layer toegang, RAG-datastromen, agentic toolchains.

In Nederland zijn Fox-IT (NCC Group) en Secura de meest ervaren partijen voor overheids- en kritieke infrastructuur. Zij voeren geen autonome agentic AI-aanvallen uit zoals CodeWall, maar leveren wel de diepgaande technische beoordeling die een overheidsplatform nodig heeft. Voor specifieke agentic AI-testing is Mindgard (VK) momenteel de meest volwassen gespecialiseerde optie in Europa.

Het Nederlandse marktequivalent van CodeWall — een partij die volledig autonome AI-agents inzet voor aanvalssimulatie specifiek op AI-platforms — bestaat nog niet. Dat is zelf al een bevinding waard.

02

Breng je governance op orde voordat je gaat testen

Een penetratietest zonder governance is een lijst bevindingen zonder context. Je weet niet welke controls er hadden moeten zijn, wie verantwoordelijk is voor herstel, of hoe je de uitkomst rapporteert aan je bestuur of toezichthouder.

De Apparens AI Control Index geeft het structurele kader: welke controls horen er per laag te zijn, wie is eigenaar, wat is de verplichte documentatie, en hoe maak je het aantoonbaar voor een auditor of de ADR. Niet als papieren oefening, maar als werkend governance-instrument dat stand houdt als het incident er al is.

Een adversarial review van je AI-platform, op basis van dit framework, brengt in acht werkdagen in kaart waar de governance-gaten zitten — zonder dat je een incident nodig hebt om het te weten.

03

Definieer wat je accepteert voordat je doorgaat

Na de test en de governance-review staat je bestuur voor een keuze: accepteer het restrisico en ga door, herstel de bevindingen en ga daarna door, of stop. Alle drie kunnen de juiste keuze zijn. Maar het moet een bewuste keuze zijn, gedocumenteerd en ondertekend door de juiste persoon.

Dat is wat een Risk Acceptance Record doet in het framework. En dat is wat een toezichthouder als de ADR of de AP verwacht te zien als ze langskomen.

Tot slot

Het McKinsey-incident is geen verhaal over één kwetsbaarheid die gemist werd. Het is een verhaal over het gat tussen gepercipieerde veiligheid en werkelijke weerbaarheid, en over wat er gebeurt als dat gat door een autonome agent in twee uur wordt blootgelegd in plaats van door een kwaadwillende actor in de komende maanden.

De vraag voor elke organisatie die een AI-platform bouwt of uitrolt is niet: hebben wij een audit afgerond? De vraag is: houdt onze architectuur stand als iemand er methodisch en zonder vermoeidheid tegenaan gaat?

Dat is een andere vraag. En het vraagt om een ander soort antwoord.

Apparens doet onderzoek naar adversarial review als methodiek voor het beoordelen van AI-systemen en digitale weerbaarheid. Vragen of reacties zijn welkom via apparens.nl/contact.

Bronnen

  • Bender, M. (z.d.) Person in gray hoodie wearing skull mask near LED light [Fotografisch werk]. Unsplash. Licentie: Unsplash License (vrij gebruik).
  • CodeWall (2026) How we hacked McKinsey’s AI platform. CodeWall Blog, 9 maart.
  • Janssen, J. (2026) The AI Enterprise Control Index: 8 layers, 5 shields, 60+ controls. Apparens, versie 4.0, februari. apparens.nl/ai-control-index
  • Kiledjian, E. (2026) ‘CodeWall says it hacked McKinsey’s Lilli AI assistant’, kiledjian.com, 10 maart.
  • McKinsey & Company (2023) ‘Meet Lilli, our generative AI tool that’s a researcher, a time saver, and an inspiration’, New at McKinsey Blog, 16 augustus.
  • McKinsey & Company (2024) Rewiring the way McKinsey works with Lilli. McKinsey & Company.
  • Monfort, N. (2026) Reactie op bericht over McKinsey Lilli hack [LinkedIn-commentaar], 9 maart.
  • Ráyol, M. (2026) Reactie op bericht van A. Horn over McKinsey Lilli hack [LinkedIn-commentaar], 9 maart.
  • Sharwood, S. (2026) ‘McKinsey AI chatbot hacked by researchers who say it gave up 46 million messages’, The Register, 9 maart.

Foto: Max Bender / Unsplash

← Alle artikelen