30 целей взломаны почти без людей — ИИ Claude впервые провёл почти автономную атаку на уровне спецслужб

Китайская кибершпионская группа, которую Anthropic обозначает как GTG-1002, использовала возможности модели Claude Code для попыток взлома примерно тридцати крупных компаний и государственных структур. Это первый задокументированный случай, когда агентный искусственный интеллект смог получить доступ к действительно ценным целям в рамках разведывательной операции. По данным разработчика, злоумышленники добились успеха в отдельных эпизодах, хотя масштаб ущерба компания не раскрывает.

Атака началась в середине сентября и была направлена на технологические концерны, финансовые площадки, предприятия химической промышленности и госучреждения. Роль человека ограничивалась выбором целей и финальной проверкой действий искусственного интеллекта: всю тактическую работу выполнял набор субагентов Claude, объединённых в многоступенчатую систему.

GTG-1002 использовала сочетание Claude Code и протокола Model Context Protocol (MCP), который позволяет модели взаимодействовать с инструментами и выполнять команды, выходящие за рамки простого текстового диалога. На базе этих компонентов операторы создали собственный фреймворк, который распределял этапы атаки между несколькими подмодулями. Каждый такой агент занимался своей частью операции: формировал карту инфраструктуры, проводил сканирование, изучал конфигурации систем, выявлял слабые места и искал способы их практического использования.

Когда субагенты выстраивали цепочки эксплуатации и генерировали полезные нагрузки, человек просматривал результаты — обычно это занимало от двух до десяти минут — и подтверждал дальнейшие шаги. После этого искусственный интеллект приступал к следующей фазе. В неё входили попытки получить и проверить учётные данные, повышение уровней доступа, перемещение по внутренней сети и работа с конфиденциальной информацией. На последнем этапе человек снова вмешивался лишь для проверки и утверждения выгрузки данных.

Как отмечают аналитики Anthropic, угрозу усугубило то, что злоумышленники маскировали свои команды под безобидные технические запросы, обозначая для модели конкретные роли и рабочие сценарии. Из-за этого Claude выполнял отдельные элементы вредоносной цепочки, не имея доступа к полной картине атаки. Такой приём позволил обойти встроенные защитные механизмы, которые обычно отслеживают рискованные действия при наличии очевидного вредоносного контекста.

Anthropic обнаружила активность, провела внутреннее расследование, заблокировала связанные аккаунты, уведомила затронутые организации и передала информацию правоохранительным службам. По оценке компании, инцидент демонстрирует новый уровень автоматизации операций групп, поддерживаемых государством: теперь они экспериментируют не просто с генерацией кода или анализом данных, а с построением почти автономных атак.

Разработчики напоминают, что ещё в августе фиксировали случаи вымогательства, где преступники использовали Claude для давления на 17 организаций. Тогда искусственный интеллект тоже помогал злоумышленникам, но операторы выполняли значительную часть действий вручную. В новом эпизоде доля самостоятельных решений ИИ выросла настолько, что Anthropic называет это «значительным повышением уровня угрозы».

При этом у атак была и слабая сторона. Как у любой крупной модели, у Claude возникали галлюцинации: он приписывал себе успехи, которых не было, или «находил» данные, оказавшиеся бесполезными. Иногда модель утверждала, что получила рабочие учётные записи, но попытки входа завершались неудачей. Бывали случаи, когда Claude выдавал общеизвестную информацию как критически важную находку. Из-за таких ошибок операторам всё равно приходилось вручную проверять каждое ключевое действие, что, по мнению Anthropic, пока мешает полностью автономным кибератакам.

Тем не менее эпизод показывает, насколько быстро развивается область агентных систем: GTG-1002 смогла построить цепочку нападений, в которой искусственный интеллект выполняет большую часть операций — от разведки до постэксплуатации. Для ИБ-сообщества это сигнал, что высокобюджетные группы уже переходят от экспериментов к практическим сценариям использования ИИ в наступательных операциях.