Впервые была зафиксирована и остановлена кибершпионская атака, выполненная с помощью ИИ

Anthropic, компания-разработчик моделей искусственного интеллекта и создатель линейки Claude, включая инструмент Claude Code, сообщила о выявлении и остановке сложной кибершпионской кампании, где злоумышленники использовали автономные возможности ИИ для проведения многоэтапных атак практически без участия человека.

Согласно опубликованным данным, инцидент был обнаружен в середине сентября 2025 года. Анализ показал, что злоумышленники вовлекли модель Anthropic Claude Code в выполнение технических действий как автоматизированную систему, выполнявшую большую часть действий — от разведки и поиска уязвимостей до перемещение по внутренней инфраструктуре (lateral movement) и анализа похищенных данных. Как указано в отчете Anthropic, компания с высокой степенью уверенности связывает кампанию с группировкой, связанной с китайскими госструктурами, которой присвоено обозначение GTG-1002.

В документе отмечается, что целью атак стали примерно 30 организаций. Среди них — крупные технологические компании, финансовые структуры, химические предприятия и государственные учреждения в разных странах. Anthropic подтверждает успешные проникновения в ограниченном числе случаев.

Как действовала кампания

В отчете описывается, что схема представляла собой многофазную операцию, в которой люди выполняли лишь функции стратегического контроля, а ИИ — до 80–90% всего объема технических операций.

Инициализация атаки

На первом этапе операторы выбирали конкретные цели и создавали инфраструктуру для запуска атаки. Чтобы обойти защитные ограничения модели, они выдавали себя за сотрудников легитимной компании и убеждали Claude Code, что выполняют защитное тестирование. Такая форма «социальной инженерии ИИ» позволяла скрыть истинную цель запросов.

Автоматическая разведка

Как указано в отчете, Claude Code самостоятельно исследовал инфраструктуру целей: сканировал сервисы, формировал карту сетей, определял внутренние системы и выявлял критичные ресурсы. При этом он поддерживал отдельный контекст для каждой из параллельных кампаний.

Поиск и валидация уязвимостей.

ИИ генерировал эксплойты, тестировал их работоспособность, получая ответные сигналы об успешном выполнении (callback-механизмы), и документировал результаты для последующего подтверждения операторами. Переход к активной эксплуатации осуществлялся только после одобрения человека.

Захват учетных данных и перемещение по сети.

Claude собирал конфигурации, извлекал учетные данные, проверял их на различных сервисах и определял уровни привилегий. Далее ИИ самостоятельно строил карту внутренних связей и определял набор систем, доступных для дальнейших операций.

Сбор и анализ данных.

Как следует из отчета, ИИ мог выполнять запросы к базам данных, извлекать конфиденциальную информацию, классифицировать ее по степени ценности и формировать структурированные отчеты. Человеческое вмешательство требовалось только для подтверждения окончательных целей и о выводе данных наружу.

Документирование операций.

Claude автоматически формировал подробные файлы, фиксируя ход атаки, найденные сервисы, уязвимости, учетные данные и структуру систем. Такая документация позволяла передавать доступ между разными участниками кампании и продолжать операции без повторного анализа инфраструктуры.

Технические особенности

Anthropic отмечает, что злоумышленники использовали комбинацию Claude Code и, используя инструменты, подключенные к модели через стандарт MCP (Model Context Protocol) — механизм, позволяющий ИИ обращаться к внешним программам и утилитам. ИИ воспринимал каждую задачу как отдельный технический запрос, что позволяло скрывать общий вредоносный замысел.

Кампания почти полностью опиралась на типичные инструменты пентестинга, а не на разработку нового вредоносного ПО. По оценке Anthropic, это снижает порог вхождения для подобных атак, поскольку ключевым фактором становится способность ИИ самостоятельно выполнять основную часть работы.

Ограничения ИИ в атаке

Компания зафиксировала, что Claude иногда генерировал неверные результаты — например, выдавал недействительные учетные данные или ошибочно заявлял о критичных находках. Эти ошибки требовали валидации и частично снижали эффективность атаки, отмечаю авторы отчета.

Ответ Anthropic

Компания заблокировала связанные аккаунты, уведомила затронутые организации и передала информацию компетентным органам. Также в ответ были усилены инструменты детектирования вредоносной активности, обновлены классификаторы и начата разработка систем раннего выявления автономных атак.

Последствия для отрасли

Anthropic указывает, что эта кампания демонстрирует резкое снижение барьеров для проведения сложных атак: автономные ИИ-агенты способны выполнять работу, которая ранее требовала больших команд опытных хакеров. Компания рекомендует использовать ИИ-инструменты и на защитной стороне — для автоматизации SOC, анализа инцидентов и реагирования — и подчеркивает необходимость усиления мер безопасности внутри самих AI-платформ.

Полная версия отчета доступна по ссылке.