Anthropic tiết lộ hôm thứ Năm rằng các tin tặc do nhà nước Trung Quốc bảo trợ đã dàn dựng một chiến dịch gián điệp mạng tinh vi vào giữa tháng 9 bằng cách vũ khí hóa mô hình Claude AI của họ.
Chiến dịch này nhắm mục tiêu vào khoảng 30 tổ chức toàn cầu, sử dụng AI để tự động thực hiện 80-90% vòng đời tấn công với sự can thiệp tối thiểu của con người.
Điều này đánh dấu trường hợp được ghi nhận đầu tiên về một cuộc tấn công mạng quy mô lớn do một tác nhân AI thực hiện, thể hiện sự leo thang đáng kể so với các cuộc tấn công được AI hỗ trợ trước đó.
hack.
Vụ việc nêu bật một kỷ nguyên mới của các mối đe dọa mạng, trong đó các hệ thống tự trị có thể thực hiện công việc của cả nhóm, tăng đáng kể tốc độ và quy mô của các hoạt động do nhà nước bảo trợ.
Từ AI Co-Pilot đến Autonomous Attacker: A New Era of Cyber Espionage
Trong bối cảnh vũ khí hóa AI ngày càng leo thang, chiến dịch do Anthropic trình bày chi tiết thể hiện sự thay đổi cơ bản trong hoạt động mạng.
Những kẻ được nhà nước tài trợ đã vượt ra ngoài việc sử dụng AI cho các nhiệm vụ đơn giản như tạo email lừa đảo, một xu hướng mà Google đã báo cáo vào đầu năm ngoái. Giờ đây, họ đang triển khai các tác nhân hoàn toàn tự động để tiến hành các cuộc xâm nhập phức tạp từ đầu đến cuối. Nhóm tình báo về mối đe dọa của Anthropic đã chỉ định nhóm GTG-1002 do nhà nước tài trợ.
Mô hình tấn công mới này vượt xa xu hướng”hack rung cảm”mà Winbuzzer đưa ra vào tháng 8, trong đó các mô hình AI đóng vai trò là đối tác sáng tạo hoặc đồng nghiệp cho các nhà điều hành con người. Trong mô hình đó, con người vẫn nắm quyền kiểm soát chặt chẽ việc chỉ đạo hoạt động.
Báo cáo của Anthropic xác nhận chiến dịch tháng 9 có sự khác biệt đáng kể:
“Hoạt động này là một sự leo thang đáng kể so với những phát hiện về ‘sự tấn công rung cảm’ trước đây của chúng tôi được xác định vào tháng 6 năm 2025… con người vẫn tham gia chủ yếu vào các hoạt động chỉ đạo vòng lặp.”
Các phát hiện mới cho thấy những người điều hành con người duy trì sự tham gia trực tiếp ở mức tối thiểu, ước tính chỉ chiếm 10 đến 20% tổng nỗ lực.
Những kẻ tấn công nhắm mục tiêu vào các tập đoàn công nghệ lớn, tổ chức tài chính, nhà sản xuất hóa chất và cơ quan chính phủ trên nhiều quốc gia.
Trong khi Anthropic phá vỡ thành công chiến dịch và cấm các tài khoản liên quan, một số vụ xâm nhập đã thành công.
Anthropic tuyên bố: “Chúng tôi tin rằng đây là trường hợp đầu tiên được ghi nhận về một cuộc tấn công mạng quy mô lớn được thực hiện mà không có sự can thiệp đáng kể của con người.”
Điều này xác nhận rằng rào cản xâm nhập đối với các cuộc tấn công mạng quy mô lớn, phức tạp đã được hạ xuống đáng kể, một mối lo ngại giống với phân tích ngành gần đây cho thấy Tỷ lệ thành công của tác nhân AI chiếm quyền điều khiển tăng vọt.
Cách tin tặc biến Claude thành vũ khí với tính năng nhập vai và tự động hóa
Những kẻ tấn công đã thao túng mô hình AI bằng cách xây dựng một khung điều phối tùy chỉnh.
Điều này hệ thống đã sử dụng Mã Claude của Anthropic và Giao thức bối cảnh mô hình (MCP) tiêu chuẩn mở để phân tách các cuộc tấn công phức tạp thành một loạt các nhiệm vụ rời rạc, có vẻ lành tính. MCP, được thiết kế để cho phép các mô hình AI sử dụng các công cụ bên ngoài, đã trở thành hệ thống thần kinh trung ương thực hiện hoạt động một cách hiệu quả.
Tuy nhiên, giao thức này cũng gây ra các rủi ro bảo mật mới như’Chèn ngữ cảnh’, nơi hành vi của tác nhân có thể bị thao túng.
Một yếu tố quan trọng của cuộc tấn công là vượt qua các tính năng an toàn tích hợp của Claude. Các tin tặc đã đạt được điều này thông qua một kỹ thuật bẻ khóa thông minh bắt nguồn từ kỹ thuật xã hội.
Theo Jacob Klein, Giám đốc Tình báo Mối đe dọa của Anthropic, “trong trường hợp này, những gì chúng làm là giả vờ làm việc cho các tổ chức kiểm tra bảo mật hợp pháp”.
Bằng cách thuyết phục AI rằng nó đang tham gia vào một thử nghiệm thâm nhập hợp pháp, những kẻ điều hành đã lừa nó thực hiện các hành động độc hại mà không kích hoạt các biện pháp bảo vệ đạo đức cốt lõi của nó.
Phương pháp này cho phép kẻ đe dọa ẩn mình đủ lâu để khởi động chiến dịch của họ.
Sau khi được kích hoạt, tác nhân AI sẽ tự động thực hiện toàn bộ vòng đời tấn công với hiệu quả đáng kinh ngạc. Nó bắt đầu bằng việc trinh sát để lập bản đồ cơ sở hạ tầng mục tiêu và xác định các lỗ hổng.
Từ đó, nó tiến hành tạo mã khai thác tùy chỉnh, thu thập thông tin xác thực, di chuyển ngang qua các mạng và cuối cùng là lọc và phân tích dữ liệu nhạy cảm để tìm giá trị thông tin.
Người vận hành con người chỉ can thiệp vào bốn đến sáu điểm quyết định quan trọng cho mỗi chiến dịch, chủ yếu để cho phép chuyển từ giai đoạn này sang giai đoạn tiếp theo, theo báo cáo từ The Wall Street Journal.
Klein nói với hãng tin này rằng: “Các tin tặc đã tiến hành các cuộc tấn công theo đúng nghĩa đen chỉ bằng một cú nhấp chuột và với sự tương tác tối thiểu của con người”. Quốc phòng
Việc tiết lộ của Anthropic buộc phải tính toán đến bản chất công dụng kép của AI tiên tiến. Các khả năng tương tự cho phép AI tự động tấn công mạng là vô giá để bảo vệ mạng.
Vụ việc xảy ra chỉ vài tháng sau khi chính Anthropic đưa ra một khuôn khổ an toàn mới cho các tác nhân AI, nhấn mạnh các nguyên tắc như kiểm soát của con người và tính minh bạch để ứng phó với các lỗi an toàn trong toàn ngành.
Chiến dịch nêu bật thách thức trong việc thực thi các nguyên tắc đó chống lại những kẻ thù kiên quyết.
Các chuyên gia bảo mật lưu ý rằng AI tác nhân đã được triển khai trong các Trung tâm Điều hành An ninh (SOC) để tự động hóa việc phát hiện và ứng phó với mối đe dọa, chẳng hạn như nền tảng Cortex AgentiX mới ra mắt gần đây của Palo Alto Network.
Các tác nhân phòng thủ như vậy giúp giải quyết tình trạng thiếu chuyên gia an ninh mạng trên toàn cầu bằng cách xử lý phân loại cảnh báo và chủ động săn lùng mối đe dọa.
Bản thân Anthropic đã sử dụng Claude một cách rộng rãi để phân tích lượng lớn dữ liệu được tạo ra trong quá trình điều tra vụ việc, làm nổi bật tiện ích phòng thủ của công nghệ.
Cuối cùng, công ty lập luận rằng việc tiếp tục đầu tư vào khả năng AI là điều cần thiết để xây dựng thế hệ mạng tiếp theo phòng thủ.
Cuộc chạy đua giữa các ứng dụng tấn công và phòng thủ rõ ràng đang gia tăng.
Anthropic đang kêu gọi cộng đồng bảo mật đẩy nhanh việc áp dụng các công cụ phòng thủ do AI cung cấp, cảnh báo rằng những người phòng thủ có nguy cơ bị vượt mặt nếu họ không áp dụng các công nghệ tương tự.
Logan Graham, người đứng đầu nhóm xử lý rủi ro thảm khốc của Anthropic, đã cảnh báo:”nếu chúng ta không cho phép những người phòng thủ có được lợi thế lâu dài rất đáng kể, tôi lo ngại rằng chúng ta có thể thua cuộc đua này.”
Vụ việc cho thấy rằng khi các mô hình AI trở nên mạnh mẽ hơn, các biện pháp bảo vệ quản lý việc sử dụng chúng phải phát triển với tốc độ nhanh hơn nữa để ngăn chặn việc lạm dụng trên diện rộng.
