Оригинальный заголовок материала:
В середине сентября 2025 года мы обнаружили подозрительную активность, которую последующее расследование определило как высокосложную шпионскую кампанию. Злоумышленники использовали «агентные» возможности ИИ в беспрецедентной степени — применяя ИИ не только как советника, но и для выполнения самих кибератак.
Злоумышленник — которого мы с высокой уверенностью оцениваем как китайскую государственную группу — манипулировал нашим инструментом «Код Клод», чтобы попытаться проникнуть примерно в тридцать глобальных целей и добился успеха в небольшом числе случаев. Операция была нацелена на крупные технологические компании, финансовые учреждения, химические производственные компании и государственные учреждения. Мы считаем, что это первый задокументированный случай крупномасштабной кибератаки, совершённой без значительного вмешательства человека.
После обнаружения этой активности мы немедленно начали расследование, чтобы понять её масштаб и характер. В течение следующих десяти дней, пока мы определяли серьёзность и полный масштаб операции, мы запрещали аккаунты по мере их выявления, уведомляли затронутые организации по мере необходимости и координировали действия с властями по мере сбора оперативной информации.
Эта кампания имеет значительные последствия для кибербезопасности в эпоху «агентов» ИИ — систем, которые могут работать автономно в течение длительного времени и выполняют сложные задачи, в значительной степени независимо от вмешательства человека. Агенты ценны для повседневной работы и продуктивности — но в неправильных руках они могут значительно повысить жизнеспособность крупномасштабных кибератак.
В первой фазе человеческие операторы выбирали соответствующие цели (например, компанию или государственное агентство, которое должно быть проникновено). Затем они разработали фреймворк атаки — систему, предназначенную для автономного компромета выбранной цели с минимальным участием людей. Этот фреймворк использовал Claude Code как автоматизированный инструмент для выполнения киберопераций.
В этот момент им пришлось убедить Клода — который тщательно обучен избегать вредоносного поведения — участвовать в атаке. Они сделали это, джейлбрейк и фактически обманув его, чтобы обойти свои ограничения. Они разбивали свои атаки на мелкие, казалось бы, невинные задачи, которые Клод выполнял, не давая полного контекста их злого умысла. Они также сообщили Клоду, что это сотрудник легальной фирмы по кибербезопасности и используется для защитного тестирования.
Затем злоумышленники инициировали вторую фазу атаки, в ходе которой Claude Code проверял системы и инфраструктуру целевой организации и обнаружил базы данных с наивысшей ценностью. Клод смог провести эту разведку за долю времени, которое потребовала бы команда человеческих хакеров. Затем компания отчиталась операторам с резюме своих находок.
На следующих этапах атаки Claude выявлял и тестировал уязвимости в системах целевых организаций, изучая и пишя собственный код эксплойтов. Сделав это, фреймворк смог использовать Claude для сбора учетных данных (имён пользователей и пароли), которые позволяли получить дополнительный доступ и затем извлекать большое количество частных данных, которые он классифицировал по их интеллектуальной ценности. Были выявлены учетные записи с самыми высокими привилегиями, созданы бэкдоры и извлечены данные с минимальным человеческим контролем.
В заключительном этапе злоумышленники попросили Клода подготовить подробную документацию атаки, создав полезные файлы с украденных учетными данными и проанализированными системами, что помогло бы фреймворку спланировать следующий этап киберопераций злоумышленника.
В целом, злоумышленник смог использовать ИИ для выполнения 80-90% кампании, при этом человеческое вмешательство требовалось лишь время от времени (примерно 4-6 критических очков принятия решений за каждую кампанию взлома). Огромный объём работы, проделанной ИИ, занял бы огромное количество времени у человеческой команды. В разгар атаки ИИ сделал тысячи запросов, часто по несколько в секунду — скорость атаки, которую для человеческих хакеров было бы просто невозможно достичь.
Клод не всегда работал идеально. Иногда он галлюцинировал документы или утверждал, что извлекал секретную информацию, которая на самом деле была доступна публично. Это остаётся препятствием для полностью автономных кибератак.
Эта атака — эскалация даже по результатам «вайб-хакинга», о которых мы сообщили этим летом: в тех операциях люди оставались в центре внимания, направляя операции. Здесь участие людей было гораздо реже, несмотря на масштаб атаки. И хотя мы имеем видимость только об использовании Claude, этот кейс, вероятно, отражает последовательные модели поведения на передовых моделях ИИ и демонстрирует, как злоумышленники адаптируют свои операции для использования самых современных возможностей ИИ.
Это поднимает важный вопрос: если модели ИИ могут использоваться для кибератак в таком масштабе, зачем продолжать их разрабатывать и выпускать? Ответ в том, что именно те способности, позволяющие Клоду использовать его в этих атаках, делают его ключевым для киберзащиты. Когда неизбежно происходят сложные кибератаки, наша цель — чтобы Claude, в который мы внедрили надёжные меры безопасности, помогал специалистам по кибербезопасности выявлять, нарушать и готовиться к будущим версиям атаки. Действительно, наша команда по разведке угроз широко использовала Claude для анализа огромных объёмов данных, созданных в ходе этого расследования.
Произошли фундаментальные изменения в области кибербезопасности. Мы советуем командам по безопасности экспериментировать с применением ИИ для защиты в таких областях, как автоматизация Центра операций безопасности, обнаружение угроз, оценка уязвимостей и реагирование на инциденты. Мы также советуем разработчикам продолжать инвестировать в меры защиты на всех своих платформах ИИ, чтобы предотвратить злоупотребления со стороны противника. Описанные выше методы, несомненно, будут использоваться гораздо большим числом злоумышленников — что делает обмен угрозами в отрасли, улучшенные методы обнаружения и усиленные меры безопасности ещё более важными.
по ссылке можно найти более подробный отчет. Его содержание таково:
Первая зарегистрированная кампания кибершпионажа, организованная ИИ
В середине сентября 2025 года мы обнаружили подозрительную активность, которую последующее расследование определило как высокосложную шпионскую кампанию. Злоумышленники использовали «агентные» возможности ИИ в беспрецедентной степени — применяя ИИ не только как советника, но и для выполнения самих кибератак.Злоумышленник — которого мы с высокой уверенностью оцениваем как китайскую государственную группу — манипулировал нашим инструментом «Код Клод», чтобы попытаться проникнуть примерно в тридцать глобальных целей и добился успеха в небольшом числе случаев. Операция была нацелена на крупные технологические компании, финансовые учреждения, химические производственные компании и государственные учреждения. Мы считаем, что это первый задокументированный случай крупномасштабной кибератаки, совершённой без значительного вмешательства человека.
После обнаружения этой активности мы немедленно начали расследование, чтобы понять её масштаб и характер. В течение следующих десяти дней, пока мы определяли серьёзность и полный масштаб операции, мы запрещали аккаунты по мере их выявления, уведомляли затронутые организации по мере необходимости и координировали действия с властями по мере сбора оперативной информации.
Эта кампания имеет значительные последствия для кибербезопасности в эпоху «агентов» ИИ — систем, которые могут работать автономно в течение длительного времени и выполняют сложные задачи, в значительной степени независимо от вмешательства человека. Агенты ценны для повседневной работы и продуктивности — но в неправильных руках они могут значительно повысить жизнеспособность крупномасштабных кибератак.
Как работала кибератака
Атака опиралась на несколько особенностей моделей ИИ, которые ещё год назад не существовали или были в гораздо более зарождающейся форме:- Интеллект. Общие уровни возможностей моделей выросли до такой степени, что они могут выполнять сложные инструкции и понимать контекст таким образом, что позволяет выполнять очень сложные задачи. Более того, несколько их хорошо развитых специфических навыков — в частности, программное программирование — подходят для использования в кибератаках.
- Агентство. Модели могут выступать в роли агентов — то есть они могут работать в циклах, совершая автономные действия, цепочку между собой задачи и принимая решения с минимальным, редким участием человека.
- Инструменты. Модели имеют доступ к широкому спектру программных инструментов (часто через открытый стандарт Model Context Protocol). Теперь они могут искать в интернете, получать данные и выполнять многие другие действия, которые ранее были исключительно в сфере человеческих операторов. В случае кибератак инструменты могут включать взломщики паролей, сетевые сканеры и другое программное обеспечение, связанное с безопасностью.
Жизненный цикл кибератаки, показывающий переход от целей, возглавляемых людьми, к преимущественно атакам, управляемым ИИ, с использованием различных инструментов (часто через протокол Model Context Protocol); MCP). В разные моменты атаки ИИ возвращается к своему человеческому оператору для проверки и дальнейших указаний.
В первой фазе человеческие операторы выбирали соответствующие цели (например, компанию или государственное агентство, которое должно быть проникновено). Затем они разработали фреймворк атаки — систему, предназначенную для автономного компромета выбранной цели с минимальным участием людей. Этот фреймворк использовал Claude Code как автоматизированный инструмент для выполнения киберопераций.
В этот момент им пришлось убедить Клода — который тщательно обучен избегать вредоносного поведения — участвовать в атаке. Они сделали это, джейлбрейк и фактически обманув его, чтобы обойти свои ограничения. Они разбивали свои атаки на мелкие, казалось бы, невинные задачи, которые Клод выполнял, не давая полного контекста их злого умысла. Они также сообщили Клоду, что это сотрудник легальной фирмы по кибербезопасности и используется для защитного тестирования.
Затем злоумышленники инициировали вторую фазу атаки, в ходе которой Claude Code проверял системы и инфраструктуру целевой организации и обнаружил базы данных с наивысшей ценностью. Клод смог провести эту разведку за долю времени, которое потребовала бы команда человеческих хакеров. Затем компания отчиталась операторам с резюме своих находок.
На следующих этапах атаки Claude выявлял и тестировал уязвимости в системах целевых организаций, изучая и пишя собственный код эксплойтов. Сделав это, фреймворк смог использовать Claude для сбора учетных данных (имён пользователей и пароли), которые позволяли получить дополнительный доступ и затем извлекать большое количество частных данных, которые он классифицировал по их интеллектуальной ценности. Были выявлены учетные записи с самыми высокими привилегиями, созданы бэкдоры и извлечены данные с минимальным человеческим контролем.
В заключительном этапе злоумышленники попросили Клода подготовить подробную документацию атаки, создав полезные файлы с украденных учетными данными и проанализированными системами, что помогло бы фреймворку спланировать следующий этап киберопераций злоумышленника.
В целом, злоумышленник смог использовать ИИ для выполнения 80-90% кампании, при этом человеческое вмешательство требовалось лишь время от времени (примерно 4-6 критических очков принятия решений за каждую кампанию взлома). Огромный объём работы, проделанной ИИ, занял бы огромное количество времени у человеческой команды. В разгар атаки ИИ сделал тысячи запросов, часто по несколько в секунду — скорость атаки, которую для человеческих хакеров было бы просто невозможно достичь.
Клод не всегда работал идеально. Иногда он галлюцинировал документы или утверждал, что извлекал секретную информацию, которая на самом деле была доступна публично. Это остаётся препятствием для полностью автономных кибератак.
Последствия для кибербезопасности
Барьеры для проведения сложных кибератак значительно снизились — и мы прогнозируем, что так будет продолжаться. При правильной настройке злоумышленники теперь могут использовать агентные системы ИИ в течение длительного времени, чтобы выполнять работу целых команд опытных хакеров: анализировать целевые системы, создавать эксплойт-код и сканировать огромные наборы украденной информации эффективнее любого человека. Менее опытные и обеспеченные ресурсами группы теперь потенциально могут совершать масштабные атаки такого рода.Эта атака — эскалация даже по результатам «вайб-хакинга», о которых мы сообщили этим летом: в тех операциях люди оставались в центре внимания, направляя операции. Здесь участие людей было гораздо реже, несмотря на масштаб атаки. И хотя мы имеем видимость только об использовании Claude, этот кейс, вероятно, отражает последовательные модели поведения на передовых моделях ИИ и демонстрирует, как злоумышленники адаптируют свои операции для использования самых современных возможностей ИИ.
Это поднимает важный вопрос: если модели ИИ могут использоваться для кибератак в таком масштабе, зачем продолжать их разрабатывать и выпускать? Ответ в том, что именно те способности, позволяющие Клоду использовать его в этих атаках, делают его ключевым для киберзащиты. Когда неизбежно происходят сложные кибератаки, наша цель — чтобы Claude, в который мы внедрили надёжные меры безопасности, помогал специалистам по кибербезопасности выявлять, нарушать и готовиться к будущим версиям атаки. Действительно, наша команда по разведке угроз широко использовала Claude для анализа огромных объёмов данных, созданных в ходе этого расследования.
Произошли фундаментальные изменения в области кибербезопасности. Мы советуем командам по безопасности экспериментировать с применением ИИ для защиты в таких областях, как автоматизация Центра операций безопасности, обнаружение угроз, оценка уязвимостей и реагирование на инциденты. Мы также советуем разработчикам продолжать инвестировать в меры защиты на всех своих платформах ИИ, чтобы предотвратить злоупотребления со стороны противника. Описанные выше методы, несомненно, будут использоваться гораздо большим числом злоумышленников — что делает обмен угрозами в отрасли, улучшенные методы обнаружения и усиленные меры безопасности ещё более важными.
по ссылке можно найти более подробный отчет. Его содержание таково:
- Краткое изложение
- Упрощенная схема архитектуры работы
- Операционная инфраструктура
- Автономные операции на основе искусственного интеллекта под наблюдением человека
- Жизненный цикл атаки и интеграция искусственного интеллекта
- Фаза 1: Инициализация кампании и выбор цели
- Фаза 2: Разведка и нанесение на карту местности для атаки
- Фаза 3: Обнаружение и проверка уязвимостей
- Фаза 4: Сбор учетных данных и горизонтальное перемещение
- Фаза 5: Сбор данных и извлечение разведданных
- Фаза 6: Документирование и передача данных
- Техническая сложность нашего ответа
- Последствия для кибербезопасности