Это перевод новости, оригинал тут вместе с подробными отчетом на анг Disrupting the first reported AI-orchestrated cyber espionage campaign
Совсем недавно мы заявили, что кибербезопасность вошла в новую эру: модели искусственного интеллекта (AI models) стали действительно полезными не только для защиты, но и для атак. Этот вывод основан на системных наблюдениях — за последние полгода возможности таких моделей фактически удвоились, и мы уже видим, как злоумышленники применяют ИИ на практике.
Хотя мы и ожидали, что эти технологии будут развиваться, нас удивило насколько стремительно они перешли от экспериментов к реальным кибероперациям.
Как всё началось
В сентябре 2025 года мы выявили высокоорганизованную операцию кибершпионажа, проводимую государственной группой из Китая, получившей внутреннее обозначение GTG-1002.
Главная особенность операции — беспрецедентная автономность ИИ на всех этапах атаки: от разведки (reconnaissance) и поиска уязвимостей (vulnerability discovery) до эксплуатации (exploitation), перемещения по сети (lateral movement), сбора данных (data harvesting) и вывоза (exfiltration).
Claude Code — инструмент Anthropic — использовался как автономный агент (autonomous agent), выполнявший до 90 % тактических действий без участия людей, с нереальной по человеческим меркам скоростью запросов.
GTG-1002 использовали наш инструмент Claude Code, чтобы атаковать примерно 30 целей по всему миру — включая технологические, финансовые и промышленные компании, а также правительственные структуры. В ряде случаев атака оказалась успешной.
Это стало качественным скачком по сравнению с операциями “vibe hacking”, которые мы документировали в июне 2025 года: тогда ИИ лишь помогал, а здесь действовал почти самостоятельно.
GTG-1002 впервые продемонстрировала, что агентный ИИ (agentic AI) способен взламывать реальные цели и собирать разведданные, включая крупные технологические корпорации и госструктуры.
Мы также выявили важное ограничение: Claude иногда переоценивал результаты или придумывал данные — сообщал о несуществующих паролях или “находил” публичную информацию, выдавая её за секретную. Эти “галлюцинации” (AI hallucination) ограничивали эффективность атаки и остаются барьером для полностью автономных операций.
Это, по сути, первая задокументированная кибератака, выполненная почти полностью искусственным интеллектом.
Как мы действовали
Как только мы поняли масштаб угрозы, началось экстренное расследование.
В течение десяти дней мы:
1.выявили все задействованные аккаунты и заблокировали их;
2.уведомили пострадавшие организации;
3.передали собранные данные правоохранительным органам и аналитическим центрам.
Как действовал искусственный интеллект
Кибератака опиралась на несколько технологических достижений, появившихся буквально за последний год:
1. Интеллект (Intelligence). Современные модели понимают контекст, следуют сложным инструкциям и способны выполнять многоэтапные задачи — в том числе писать сложный программный код (software code), пригодный для атак.
2. Агентность (Agency). Модель может работать в цикле (loop): сама анализирует результаты, ставит цели и корректирует действия, требуя от человека лишь минимального контроля.
3. Инструменты (Tools). Благодаря стандарту Model Context Protocol (MCP), ИИ получает доступ к множеству внешних утилит — от веб-поиска (web search) и анализа данных (data retrieval) до работы с сетевыми сканерами (network scanners) и программами для подбора паролей (password crackers).
Операционная архитектура
Группа GTG-1002 разработала автономную систему атак (autonomous attack framework), использующую Claude Code и инструменты стандарта Model Context Protocol (MCP).
Claude применялся как оркестратор, разбивавший сложную атаку на небольшие задачи — сканирование уязвимостей, проверку учётных данных, извлечение данных и перемещение по сети.
Каждая из этих операций по отдельности выглядела безобидно, но вместе образовывала полноценную атаку.
Архитектура позволяла ИИ выполнять команды на основе инструкций человека, при этом логика системы управляла фазами атаки и агрегировала результаты из множества сессий. Это обеспечило масштаб, сравнимый с кампаниями на уровне государств, при минимальном человеческом участии.
Цикл атаки:
Фаза 1. Инициализация и выбор целей
Люди выбирали цели — технологические, финансовые, химические компании и госагентства.
Чтобы обойти защиту Claude, акторы применили социальную инженерию (social engineering): притворялись сотрудниками легальной компании по кибербезопасности и убедили модель, что атака — это тест безопасности (defensive testing).
Фаза 2. Разведка
Claude проводил автономное сканирование инфраструктуры, анализ аутентификации, поиск уязвимостей через браузерную автоматизацию (browser automation via MCP).
ИИ вел параллельную разведку сразу по нескольким целям, выявляя сотни сервисов и критически важные системы — базы данных, внутренние API и оркестраторы процессов.
Фаза 3. Обнаружение уязвимостей и эксплуатация
Claude самостоятельно создавал и проверял эксплойты (exploit payloads).
Пример цикла:
Сканирует инфраструктуру,
Находит SSRF-уязвимость (Server-Side Request Forgery),
Разрабатывает полезную нагрузку,
Проверяет её через обратные вызовы (callback responses),
Создаёт отчёт.
Человек лишь утверждает переход к активной эксплуатации.
Фаза 4. Сбор учётных данных и перемещение по сети
Claude извлекал пароли и сертификаты, проверял их на различных системах, строил карту доступа и уровни привилегий (privilege mapping).
Перемещение (lateral movement) выполнялось полностью автономно — ИИ тестировал входы в базы данных, контейнерные реестры, внутренние API и логи.
Фаза 5. Сбор и анализ данных
Claude входил в базы данных, выгружал таблицы, выделял учётные записи с повышенными правами, создавал скрытые аккаунты (backdoors) и сортировал всё по разведывательной ценности (intelligence value).
Объём данных — терабайты. ИИ сам решал, что важно, и формировал отчёты.
Фаза 6. Документирование и передача
Claude автоматически генерировал детальные отчёты (markdown-файлы) с перечислением сервисов, данных, уязвимостей и последовательности действий.
После завершения атаки доступ, вероятно, передавался другим командам для долгосрочного шпионажа.
Техническая сложность
GTG-1002 почти не использовала вредоносные программы.
Основной набор — открытые инструменты пентеста (open-source penetration testing tools):
сканеры сетей, анализаторы баз данных, программы для подбора паролей (password crackers) и фреймворки эксплуатации (exploitation frameworks). Все они объединялись автоматизацией через MCP-серверы, которые позволяли Claude-агентам координировать десятки инструментов одновременно. Это показывает, что современные атаки требуют не уникальных эксплойтов, а умелого оркестрирования существующих средств. В итоге около 90 % работы выполнил искусственный интеллект, а человек вмешивался лишь в несколько ключевых точек (critical decision points). Что это значит для мира кибербезопасности Порог вхождения в сферу кибератак резко снизился.
Теперь даже малоопытные группы могут использовать агентные системы, чтобы выполнять то, на что раньше требовались команды профессионалов: сканировать сети, писать эксплоиты, сортировать украденные данные, автоматизировать разведку.
Это уже не просто эволюция, а революция в киберугрозах. Если раньше ИИ помогал людям-хакерам, то теперь люди помогают ИИ-хакеру. Однако важно помнить: те же возможности, что позволяют атаковать, могут и защищать. Claude с его встроенными за��итными механизмами (safeguards) помогает нашим специалистам:
1.анализировать аномалии,
2.выявлять признаки атак,
3.ускорять реагирование на инциденты (incident response).
Наша команда разведки угроз (Threat Intelligence team) уже использует Claude для обработки огромных массивов данных, собранных в ходе расследования этой же кампании.
Что дальше
Мир кибербезопасности изменился навсегда.
Мы рекомендуем специалистам активнее использовать ИИ для защиты —в автоматизации центров мониторинга (Security Operations Centers), анализе уязвимостей (vulnerability assessment), обнаружении угроз (threat detection) и управлении инцидентами.
Разработчикам ИИ следует продолжать инвестировать в меры безопасности (safety controls) и защиту от злоупотреблений (adversarial misuse).
Обмен разведданными (threat sharing) между организациями становится как никогда важен.
Полный технический отчёт (full report) с подробными данными и схемами опубликован на сайте Anthropic.
От себя могу сказать, что только позавчера на курсе по ии агентам, в материале рассказывали про возможные гипотетические атаки с помощью агентов, можно почитать тут на хабре День 2, интенсив от Google по ии агентам, кибербезопасность ии агентов, и тут же сразу опубликован инцидент антропиком.
