Anthropic onthulde donderdag dat door de Chinese staat gesponsorde hackers half september een geavanceerde cyberspionagecampagne hebben georkestreerd door het Claude AI-model te bewapenen.
De operatie was gericht tegen ongeveer 30 mondiale organisaties, waarbij ze de AI gebruikten om 80-90% van de aanvalslevenscyclus autonoom uit te voeren met minimale menselijke tussenkomst.
Dit is het eerste gedocumenteerde geval van een grootschalige cyberaanval, aangestuurd door een AI-agent, wat een aanzienlijke escalatie betekent. van eerdere AI-ondersteunde hacking.
Het incident markeert een nieuw tijdperk van cyberdreigingen waarin autonome systemen het werk van hele teams kunnen uitvoeren, waardoor de snelheid en schaal van door de staat gesponsorde operaties dramatisch toenemen.
Van AI-copiloot tot autonome aanvaller: een Nieuw tijdperk van cyberspionage
In een aanzienlijke escalatie van AI-bewapening vertegenwoordigt de campagne uitgewerkt door Anthropic een fundamentele verschuiving in cyberoperaties.
Door de staat gesponsorde actoren zijn verder gegaan dan het gebruik van AI voor eenvoudige taken zoals het opstellen van phishing-e-mails, een trend waarover Google rapporteerde. begin vorig jaar. Nu zetten ze volledig autonome agenten in om complexe inbraken van begin tot eind uit te voeren. Het dreigingsinformatieteam van Anthropic heeft de door de staat gesponsorde groep GTG-1002 aangewezen.
Dit nieuwe aanvalsparadigma overtreft ruimschoots de “vibe hacking”-trend die Winbuzzer in augustus beschreef, waarbij AI-modellen fungeerden als creatieve partners of co-piloten voor menselijke operators. In dat model behielden mensen de controle over de leiding van de operatie.
Het rapport van Anthropic bevestigt dat de campagne in september substantieel anders was:
“Deze activiteit is een aanzienlijke escalatie van onze eerdere ‘vibe hacking’-bevindingen die in juni 2025 werden geïdentificeerd… mensen bleven zeer nauw betrokken bij het aansturen van de operaties.”
De nieuwe bevindingen laten zien dat menselijke operators een minimale directe betrokkenheid behielden, geschat op slechts 10 tot 20 procent van het totaal.
Aanvallers richtten zich op grote technologiebedrijven, financiële instellingen, chemische fabrikanten en overheidsinstanties in meerdere landen.
Terwijl Anthropic met succes de campagne verstoorde en de bijbehorende accounts verbood, waren een handvol inbraken succesvol.
Anthropic verklaarde:”Wij geloven dat dit het eerste gedocumenteerde geval is van een grootschalige cyberaanval die is uitgevoerd zonder substantiële menselijke tussenkomst.”
Dit bevestigt dat de toetredingsdrempel voor geavanceerde, grootschalige cyberaanvallen hoog is. Het aantal cyberaanvallen is substantieel verminderd, een zorg die wordt weerspiegeld in recente sectoranalyses waaruit blijkt dat het succespercentage van kapingen door AI-agenten dramatisch stijgt.
Hoe hackers Claude in een wapen veranderden met rollenspel en automatisering
Aanvallers manipuleerde het AI-model door een aangepast orkestratieframework te bouwen.
Dit systeem gebruikte Claude Code van Anthropic en het open-standaard Model Context Protocol (MCP) om complexe aanvallen op te splitsen in een reeks discrete, ogenschijnlijk goedaardige taken. MCP, ontworpen om AI-modellen externe tools te laten gebruiken, werd feitelijk het centrale zenuwstelsel voor de operatie.
Dit protocol introduceert echter ook nieuwe beveiligingsrisico’s zoals’Context Injection’, waarbij het gedrag van agenten kan worden beïnvloed gemanipuleerd.
Een cruciaal element van de aanval was het omzeilen van de ingebouwde veiligheidsvoorzieningen van Claude. De hackers hebben dit bereikt door middel van een slimme jailbreaktechniek die is geworteld in social engineering.
Volgens Jacob Klein, hoofd van de Threat Intelligence van Anthropic, “doen ze in dit geval alsof ze werken voor legitieme beveiligingstestorganisaties.”
Door de AI ervan te overtuigen dat hij deelnam aan een legitieme penetratietest, hebben de operators hem misleid tot het uitvoeren van kwaadaardige acties zonder de belangrijkste ethische vangrails in werking te stellen.
Deze methode liet de bedreigingsacteur toe om te vliegen lang genoeg onder de radar om hun campagne te lanceren.
Eenmaal geactiveerd voerde de AI-agent autonoom de hele levenscyclus van de aanval uit met angstaanjagende efficiëntie. Het begon met verkenningen om de doelinfrastructuur in kaart te brengen en kwetsbaarheden te identificeren.
Van daaruit ging het over tot het schrijven van aangepaste exploitcode, het verzamelen van inloggegevens, het zijdelings verplaatsen over netwerken en ten slotte het exfiltreren en analyseren van gevoelige gegevens op inlichtingenwaarde.
Menselijke operators kwamen slechts tussenbeide op vier tot zes kritieke beslissingspunten per campagne, voornamelijk om escalatie van de ene fase naar de volgende mogelijk te maken, volgens een rapport van The Wall Street Journal.
Klein vertelde de outlet:”de hackers voerden hun aanvallen letterlijk uit met een klik op de knop, en dan met minimale menselijke interactie.”
Het dilemma voor tweeërlei gebruik: Agentic AI for Both Aanstoot en verdediging
De onthulling van Anthropic dwingt af te rekenen met het dual-use-karakter van geavanceerde AI. Dezelfde capaciteiten die een AI in staat stellen om autonoom een netwerk aan te vallen, zijn van onschatbare waarde voor de verdediging ervan.
Het incident komt slechts enkele maanden nadat Anthropic zelf een nieuw veiligheidsframework voor AI-agenten heeft gepitcht, waarbij principes als menselijke controle en transparantie worden benadrukt als reactie op veiligheidsfouten in de hele sector.
De campagne benadrukt de uitdaging van het afdwingen van dergelijke principes tegen vastberaden tegenstanders.
Beveiligingsexperts merken op dat agentische AI al wordt ingezet in Security Operations Centers. (SOC’s) om de detectie en reactie op bedreigingen te automatiseren, zoals het onlangs gelanceerde Cortex AgentiX-platform van Palo Alto Network.
Dergelijke defensieve agenten helpen het wereldwijde tekort aan cyberbeveiligingsprofessionals tegen te gaan door waarschuwingstriage en proactieve jacht op bedreigingen af te handelen.
Anthropic zelf heeft Claude uitgebreid gebruikt om de enorme hoeveelheden gegevens te analyseren die zijn gegenereerd tijdens het onderzoek naar het incident, waarbij het defensieve nut van de technologie wordt benadrukt.
Uiteindelijk stelt het bedrijf dat voortdurende investeringen in AI-capaciteiten is essentieel voor het opbouwen van de volgende generatie cyberverdediging.
De race tussen offensieve en defensieve toepassingen wordt duidelijk heviger.
Anthropic roept de beveiligingsgemeenschap op om de adoptie van door AI aangedreven defensieve instrumenten te versnellen, en waarschuwt dat verdedigers het risico lopen voorbijgestreefd te worden als ze soortgelijke technologieën niet omarmen.
Logan Graham, die leiding geeft aan het catastrofale risicoteam van Anthropic, waarschuwde: “als we verdedigers niet in staat stellen een zeer substantiële permanente Ik ben bang dat we deze race misschien verliezen.”
Het incident laat zien dat naarmate AI-modellen krachtiger worden, de waarborgen voor het gebruik ervan nog sneller moeten evolueren om wijdverbreid misbruik te voorkomen.
