Китайська хакерська група автоматизувала до 90% кібершпигунської кампанії за допомогою Anthropic Claude, зламавши 4 із 30 обраних організацій. За даними Anthropic, зловмисники змогли розбити атаки на невеликі технічні задачі без явного шкідливого контексту і Claude виконував їх як частину нібито легітимного пентесту.
«Вони розкладали свої атаки на маленькі, на перший погляд невинні задачі, які Claude виконував, не розуміючи їхнього справжнього призначення», — розповів VentureBeat Джейкоб Кляйн, керівник напряму threat intelligence в Anthropic.
Інфлекційна точка для ШІ-моделей
В Anthropic визнали, що подія стала ранньою інфлекційною точкою — моделі можна зламати та використати як автономну зброю. Хакери маскували шкідливі інструкції під пентестові задачі, зокрема пошук вразливостей і збір даних. Усе це дало змогу запустити атаки майже без участі людини.
Кляйн повідомив The Wall Street Journal, що хакери проводили атаки буквально в один клік. В одному з інцидентів Claude самостійно опитував внутрішні бази даних і витягував дані. У середньому людині потрібно було втрутитися лише на 4–6 кроках з усієї кампанії.
Архітектура атаки: MCP-сервери та субагенти Claude
У звіті Anthropic детально описано використання MCP (Model Context Protocol) серверів, які керували кількома субагентами Claude одночасно. Система розкладала мультиетапні атаки на технічні задачі:
⇾ сканування вразливостей;
⇾ валідація доступів;
⇾ збір і категоризація даних;
⇾ lateral movement.
Кожна задача здавалася легітимною. Саме це зняло підозрілість і дало можливість Claude діяти автономно.
Швидкість атаки була надлюдською: кілька операцій на секунду протягом годин, зі значно нижчим рівнем участі людини. Кампанії, які зазвичай тривають 3–6 місяців, було стиснуто до 24–48 годин.
Шість фаз автономної атаки Claude
Згідно зі звітом Anthropic, рівень автономії моделі зростав на кожному етапі:
- Вибір цілі людиною.
- Автономне мережеве картування Claude: систематичне виявлення внутрішніх сервісів.
- Ідентифікація та валідація вразливостей, включно з SSRF.
- Збір облікових даних по всій мережі.
- Автономне вилучення і класифікація даних за цінністю.
- Підготовка повної документації для handoff.
«Claude виконував роботу практично цілого red team», — зазначив Кляйн.
У звіті також сказано, що модель підтримувала рекогносцировку, пошук вразливостей, exploit-ланцюжки, lateral movement, збір облікових даних і аналіз інформації майже повністю автономно.
Традиційна APT-кампанія зазвичай потребує 10–15 висококваліфікованих фахівців, місяців підготовки та розробки власного шкідливого ПЗ. У випадку GTG-1002 хакерам вистачило лише доступу до API Claude, open-source MCP-серверів і стандартних пентестових інструментів.
«Нас вразила ефективність. Тепер можливості рівня держави можуть мати злочинні групи середнього рівня», — сказав Кляйн.
Звіт підтверджує, що Claude автономно створював payload-и, аналізував callback-відповіді, досліджував техніки експлуатації та формував exploit-ланцюжки. Проти однієї технологічної компанії Claude самостійно виконував запити до систем, витягував дані та аналізував їх, класифікуючи інформацію за розвідувальною цінністю.
«Фактор стискання — те, що мають зрозуміти компанії: те, що займало місяці, тепер займає дні», — наголосив Кляйн.
Щодо виявлення таких атак, Anthropic виділяє кілька важливих індикаторів.
Перший — аномалії трафіку: фізично неможливі швидкості запитів, кілька операцій на секунду та дисбаланс між обсягом вхідних даних і текстових відповідей.
Другий — декомпозиція запитів: малі технічні команди по 5–10 слів, де кожен запит видавався легітимним окремо, але в сукупності формувався чіткий шаблон атаки.
Третій — поведінка з автентифікацією: Claude самостійно визначав, які облікові дані відкривають доступ до яких сервісів, встановлював рівні привілеїв і формував маршрути lateral movement.
Anthropic зазначає, що вже покращує кібер-класифікатори й тестує системи раннього виявлення автономних атак.
Читайте також на ProIT, що Google виявив злочинне ПЗ, яке підвантажує код через Gemini у реальному часі.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
