Anthropic は木曜日、中国国家支援のハッカーがクロード AI モデルを武器化し、9 月中旬に高度なサイバースパイ活動を組織したことを明らかにしました。
この作戦は約 30 の世界的組織を標的とし、AI を使用して人間の介入を最小限に抑えながら攻撃ライフサイクルの 80 ~ 90% を自律的に実行しました。
これは、AI エージェントによって引き起こされた大規模なサイバー攻撃の初めて文書化された事例であり、これまでの AI 支援からの大幅なエスカレーションを示しています。
この事件は、自律システムがチーム全体の作業を実行できるようになり、国家主導の作戦の速度と規模が劇的に向上するサイバー脅威の新時代を浮き彫りにしました。
AI 副操縦士から自律攻撃者へ: サイバー新時代スパイ活動
AI 兵器化が大幅にエスカレートする中、Anthropic が詳述したキャンペーンは、サイバー作戦における根本的な変化を表しています。
国家支援の攻撃者は、フィッシング メールの作成などの単純なタスクに AI を使用することを超えて、Google が昨年初めにこの傾向について報告しました。現在、完全自律型エージェントを導入して、最初から最後まで複雑な侵入を実行しています。 Anthropic の脅威インテリジェンス チームは、国家支援グループ GTG-1002 を指定しました。
この新しい攻撃パラダイムは、Winbuzzer が 8 月に取り上げた「バイブ ハッキング」トレンドをはるかに上回っています。このトレンドでは、AI モデルがクリエイティブ パートナーまたは人間のオペレーターの副操縦士として機能していました。このモデルでは、人間が作戦の指揮をしっかりと掌握し続けていた。
アンスロピックの報告書は、9 月のキャンペーンが大幅に異なっていたことを裏付けている。
「この活動は、2025 年 6 月に確認された以前の『バイブハッキング』の調査結果からの大幅なエスカレーションである…人間が作戦の指揮を執り行っていた。」
新たな調査結果は、人間のオペレーターが最小限の直接関与を維持していたことを示しており、総作業量のわずか 10 ~ 20 パーセントと推定されている。
攻撃者は、複数の国にまたがる大手テクノロジー企業、金融機関、化学メーカー、政府機関を標的にしました。
Anthropic はキャンペーンを妨害し、関連するアカウントを禁止することに成功しましたが、少数の侵入は成功しました。
Anthropic は、「これは、実質的な人間の介入なしに実行された大規模なサイバー攻撃の記録に残る初めての事例であると考えています。」と述べました。
これは、高度で大規模なサイバー攻撃の参入障壁が大幅に強化されていることを裏付けています。この懸念は、AI エージェントのハイジャック成功率が劇的に上昇していることを示す最近の業界分析でも同様です。
ハッカーがロールプレイングと自動化でどのようにしてクロードを武器に変えたか
攻撃者はカスタム モデルを構築することで AI モデルを操作しましたオーケストレーション フレームワーク。
このシステムは、Anthropic のクロード コードとオープンスタンダードのモデル コンテキスト プロトコル (MCP) を使用して、複雑な攻撃を一連の個別の一見無害なタスクに分解しました。 AI モデルに外部ツールを使用できるように設計された MCP は、事実上、操作の中枢神経系となりました。
ただし、このプロトコルは、エージェントの動作が影響を受ける「コンテキスト インジェクション」などの新たなセキュリティ リスクも導入します。
攻撃の重要な要素は、クロードに組み込まれた安全機能をバイパスすることでした。ハッカーたちは、ソーシャル エンジニアリングに根ざした巧妙なジェイルブレイク技術によってこれを達成しました。
Anthropic の脅威インテリジェンス部門責任者のジェイコブ クライン氏によると、「この場合、彼らがやっていたのは、正規のセキュリティ テスト組織で働いているふりをしていたことです。」
オペレーターは、AI が正規の侵入テストに参加していると信じ込ませることで、AI の中核となる倫理規定を発動させることなく、悪意のあるアクションを実行させるよう騙しました。
この方法により、脅威アクターはキャンペーンを開始するのに十分な時間、レーダーの下を飛行することができました。
AI エージェントは、一度起動されると、驚くべき効率で攻撃ライフサイクル全体を自律的に実行しました。ターゲット インフラストラクチャをマッピングして脆弱性を特定するための偵察から始まりました。
そこから、カスタム エクスプロイト コードの作成、認証情報の収集、ネットワーク間での横方向の移動、そして最後にインテリジェンス価値を得るために機密データの抽出と分析に進みました。
人間のオペレーターが介入したのは、主に 1 つのフェーズから次のフェーズへのエスカレーションを承認するためで、主にキャンペーンごとに 4 ~ 6 つの重要な意思決定ポイントでした。 href=”https://www.wsj.com/tech/ai/china-hackers-ai-cyber Attacks-anthropic-41d7ce76″target=”_blank”>ウォール ストリート ジャーナルのレポート。
クライン氏は同アウトレットに対し、「ハッカーは文字通りボタンをクリックするだけで攻撃を実行し、人間の介入は最小限で行われた。」
デュアルユースのジレンマ: エージェント型 AI攻撃と防御の両方に
Anthropic の開示により、高度な AI の二重用途の性質を考慮する必要があります。 AI がネットワークを自律的に攻撃できるようにするのと同じ機能は、ネットワークを防御するために非常に貴重です。
この事件は、Anthropic 自体が AI エージェント向けの新しい安全フレームワークを提案してからわずか数か月後に発生し、業界全体の安全上の失敗に対応する人間による制御や透明性などの原則を強調しています。
このキャンペーンは、断固たる敵対者に対してそのような原則を強制するという課題を浮き彫りにしています。
セキュリティ専門家は、エージェント AI がすでにセキュリティ運用に導入されていると指摘しています。パロアルトネットワークが最近立ち上げた Cortex AgentiX プラットフォームなど、脅威の検出と対応を自動化するセンター (SOC) です。
このような防御エージェントは、アラートのトリアージやプロアクティブな脅威ハンティングを処理することで、サイバーセキュリティ専門家の世界的な不足に対抗するのに役立ちます。
Anthropic 自体は、インシデントの調査中に生成された膨大なデータを分析するためにクロードを広範囲に使用し、テクノロジーの防御の有用性を強調しました。
最終的に、同社は継続的な投資が有効であると主張しています。次世代のサイバー防御を構築するには、AI 機能の向上が不可欠です。
攻撃アプリケーションと防御アプリケーションの間の競争は、明らかに激化しています。
Anthropic は、セキュリティ コミュニティに対し、AI を活用した防御ツールの導入を加速するよう呼びかけ、同様のテクノロジーを採用しない場合、防御側が先を越される危険があると警告しています。
Anthropic の壊滅的リスク チームを率いるローガン グラハム氏は、「防御側を有効にしないと、非常に大きな永続的なアドバンテージを得るには、この競争に負けるのではないかと心配しています。」
この事件は、AI モデルがより強力になるにつれて、広範な悪用を防ぐためにその使用を管理する保護手段がさらに速い速度で進化する必要があることを示しています。
