Anthropic avslöjade i torsdags att kinesiska statssponsrade hackare orkestrerade en sofistikerad cyberspionagekampanj i mitten av september genom att vapensätta dess Claude AI-modell.
Operationen riktade sig mot ungefär 30 globala organisationer, som använde AI för att självständigt utföra 80-90 % av det mänskliga ingreppets livscykel. storskalig cyberattack driven av en AI-agent, vilket representerar en betydande eskalering från tidigare AI-assisterad hacking.
Incidenten belyser en ny era av autonoma teams arbete som dramatiskt kan utföra en ny era av autonoma system. hastigheten och omfattningen av statligt sponsrade operationer.
Från AI Co-Pilot till Autonomous Attacker: A New Era of Cyber Espionage
I en betydande upptrappning av AI-vapen, kampanjen target=”by_espionage”>target=”espionage”Antropisk representerar en grundläggande förändring i cyberverksamhet.
Statssponsrade aktörer har gått längre än att använda AI för enkla uppgifter som att skapa nätfiske-e-post, en trend som Google rapporterade om i början av förra året. Nu distribuerar de helt autonoma agenter för att utföra komplexa intrång från början till slut. Anthropics team för hotintelligens har utsett den statligt sponsrade gruppen GTG-1002.
Detta nya attackparadigm överträffar vida”vibe hacking”-trenden som Winbuzzer täckte i augusti, där AI-modeller fungerade som kreativa partners eller andrapiloter till mänskliga operatörer. I den modellen förblev människorna stadigt i kontroll över att styra operationen.
Anthropics rapport bekräftar att septemberkampanjen skilde sig väsentligt:
“Denna aktivitet är en betydande upptrappning från våra tidigare upptäckter av”vibe hacking”som identifierades i juni 2025… människor förblev väldigt mycket i slingan som styrde operationer.”
upprätthåller enbart minimala resultat av mänskligt engagemang.”
10 till 20 procent av den totala insatsen.
Angripare riktade in sig på stora teknologiföretag, finansinstitutioner, kemiska tillverkare och statliga myndigheter i flera länder.
Medan Anthropic framgångsrikt avbröt kampanjen och förbjöd tillhörande konton, var en handfull intrång framgångsrika.
Anthropic tror att det här är ett storskaligt tillstånd i en stor skala. cyberattack utförd utan väsentlig mänsklig inblandning.”
Detta bekräftar att inträdesbarriären för sofistikerade, storskaliga cyberattacker har sänkts avsevärt, en oro som återspeglas i nyligen genomförd branschanalys som visar agent-en-giackter-threats-re-blank”>agenten-recent-recenat hastigheter hoppar dramatiskt.
Hur hackare förvandlade Claude till ett vapen med rollspel och automatisering
Angripare manipulerade AI-modellen genom att bygga ett anpassat orkestreringsramverk.
Detta system använde Anthropics Claude-komplexa protokoll för attacker (MCP) och den öppna standardmodellen för attacker (MCP) diskreta, till synes godartade uppgifter. MCP, designat för att låta AI-modeller använda externa verktyg, blev i praktiken det centrala nervsystemet för operationen.
Det här protokollet riskerar dock också introduces new security like
Injektion, där agentens beteende kan manipuleras.
En avgörande del av attacken var att kringgå Claudes inbyggda säkerhetsfunktioner. Hackarna uppnådde detta genom en smart jailbreaking-teknik med rötter i social ingenjörskonst.
Enligt Jacob Klein, Anthropics Head of Threat Intelligence,”i det här fallet låtsades de arbeta för legitima säkerhetstestande organisationer.”
Genom att övertyga AI:n att den deltog i ett illvilligt trick, gjorde den en illvillig testning. agerar utan att utlösa dess etiska skyddsräcken.
Denna metod tillät hotaktören att flyga under radarn tillräckligt länge för att starta sin kampanj.
När den aktiverats, utförde AI-agenten självständigt hela attackens livscykel med skrämmande effektivitet. Det började med spaning för att kartlägga målinfrastruktur och identifiera sårbarheter.
Därifrån fortsatte det till att skapa anpassad exploateringskod, samla in autentiseringsuppgifter, förflytta sig i sidled över nätverk och slutligen att exfiltrera och analysera känslig data för intelligensvärde.
Mänskliga operatörer ingrep endast från en kritisk fas till en kritisk fas vid en kritisk fas av författaren till sex kritiska faser. till nästa, enligt en rapport från The Wall Street Journal.
Klein berättade för butiken,”hackerna genomförde sina attacker bokstavligen med minimala angrepp med
och med ett klick på en knapp.”Dual-Use Dilemma: Agentic AI for Both Offense and Defense
Anthropics avslöjande tvingar fram en avräkning med dubbelanvändningskaraktären hos avancerad AI. Samma kapacitet som gör att en AI självständigt kan attackera ett nätverk är ovärderlig för att försvara det.
Incidenten inträffade bara månader efter att Anthropic själv presenterade ett nytt säkerhetsramverk för AI-agenter, som betonade principer som mänsklig kontroll och transparens som svar på säkerhetsbrister i branschen.
Kampanjen belyser utmaningen med att upprätthålla sådana reklamprinciper.
experter noterar att agent AI redan distribueras i Security Operations Centers (SOCs) för att automatisera hotdetektering och svar, såsom Palo Alto Networks nyligen lanserade Cortex AgentiX-plattform.
Sådana defensiva agenter hjälper till att motverka den globala bristen på cybersäkerhetsproffs genom att hantera larmtriage och själv analysera den omfattande hotsjakten p>. mängder av data som genererades under dess utredning av incidenten, vilket lyfter fram teknikens defensiva nytta.
I slutändan hävdar företaget att fortsatta investeringar i AI-kapacitet är avgörande för att bygga nästa generation av cyberförsvar.
Kopplingen mellan offensiva och defensiva tillämpningar intensifieras tydligt.
AI-drivna defensiva verktyg, varnar för att försvarare riskerar att bli överträffade om de inte använder liknande teknologier.
Logan Graham, som leder Anthropics katastrofgrupp för katastrofrisker, varnade,”om vi inte gör det möjligt för försvarare att ha en mycket betydande permanent fördel, är jag orolig att vi kanske förlorar denna ras, eftersom den här modellen blir mer säkra.”
som styr deras användning måste utvecklas i en ännu snabbare takt för att förhindra utbredd missbruk.
