Jak cyberprzestępcy wykorzystują AI w atakach praktycznie bez udziału człowieka?

Pierwszy globalny cyberatak zrealizowany przez AI wykryła i zneutralizowała firma Anthropic. Nawet 90% operacji w całym ataku wykonało samodzielnie AI, a udział człowieka ograniczył się do podjęcia decyzji w 4-6 węzłowych momentach. 

Firma Anthropic ogłosiła, że wykryła i udaremniła złożoną kampanię szpiegostwa cybernetycznego, która jest pierwszym udokumentowanym przypadkiem ataku na dużą skalę, wykonanego bez znaczącego udziału człowieka.

Aktywność ta została wykryta w połowie września 2025 roku i jest z dużym prawdopodobieństwem przypisywana grupie APT sterowanej przez Chiny. Atak wykorzystał  „zdolności agentowe” sztucznej inteligencji w niespotykanym dotychczas stopniu.

Atakującym udało się zmanipulować narzędzie Anthropic, Claude Code, do podjęcia prób infiltracji około trzydziestu globalnych celów. Lista obejmowała duże firmy technologiczne, instytucje finansowe, przedsiębiorstwa chemiczne oraz agencje rządowe. Choć infiltracja powiodła się w niewielkiej liczbie przypadków, skala i autonomia ataku stanowią alarmujący precedens. Po wykryciu podejrzanej aktywności, Anthropic wszczął dochodzenie, zidentyfikował konta, powiadomił poszkodowane podmioty i koordynował działania z władzami w ciągu dziesięciu dni.

AI dojrzało do bycia hakerem

Atak opierał się na funkcjach modeli AI, które jeszcze rok wcześniej nie istniały lub były w bardzo wczesnej fazie rozwoju. W ocenie Anthropic, atak nieomal całkowicie autonomiczny, był w ogóle możliwy dzięki trzem czynnikom:

• Po pierwsze, modele osiągnęły poziom, który umożliwia im śledzenie złożonych instrukcji i zrozumienie kontekstu, co czyni możliwymi wyrafinowane zadania, w szczególności programowanie.
• Drugim czynnikiem jest agentowość AI. Modele działały jako agenci, zdolni do autonomicznego działania w pętlach, łączenia zadań i podejmowania decyzji przy minimalnym, okazjonalnym zaangażowaniu człowieka.
• Po trzecie wreszcie, modele uzyskały dostęp do szerokiej gamy narzędzi programowania (często za pośrednictwem standardu Model Context Protocol – MCP), w tym do skanerów sieciowych i łamaczy haseł.

Ludzkie zaangażowanie było wymagane tylko w fazie inicjalnej i polegało na wyborze celów oraz opracowaniu ogólnego zarysu ataku.

Atak a’la AI

Aby ominąć zabezpieczenia Claude’a, atakujący przeprowadzili „jailbreaking”. Osiągnęli to, dzieląc atak na małe, pozornie niewinne zadania i informując Claude’a, że są to elementy testów bezpieczeństwa wykonywanych przez pracownika firmy cyberbezpieczeństwa.

Po powodzeniu w tej fazie, AI przejęła pałeczkę i przeprowadziła dalsze operacje.

W drugiej fazie ataku zmanipulowany Claude Code przeprowadził rekonesans i zbadał systemy i infrastrukturę celów, identyfikując najcenniejsze bazy danych. Zajęło mu to czas liczony w ułamkach sekundy, nieporównywalnie krótszy niż to, ile mogłoby to zająć przy pomocy tych samych narzędzi zespołowi złożonemu z ludzi. ludzki.

W następnej fazie Claude dokonał wykorzystania podatności i wydobycia danych (esploitation and exfiltration). Identyfikował luki bezpieczeństwa, pisał własny kod exploitów, zbierał poświadczenia (nazwy użytkowników i hasła), tworzył tylne furtki i kradł duże ilości prywatnych danych, kategoryzując je według wartości wywiadowczej.

Na końcu, AI stworzyła kompleksową dokumentację ataku, zawierającą skradzione poświadczenia i analizę systemów, ułatwiając atakującym planowanie dalszych działań.

Ostatecznie, aktor zagrożenia wykorzystał AI do wykonania 80-90% kampanii, a zaangażowanie ludzi było potrzebne jedynie kilka razy – w około 4-6 krytycznych punktów decyzyjnych w toku całej kampanii. W szczytowym momencie ataku, AI generowała tysiące żądań, często kilka na sekundę, osiągając prędkość niemożliwą do osiągnięcia przez ludzkich hakerów.

Cenna lekcja – wnioski dla cyberbezpieczeństwa

Anthropic ostrzega, że możliwości przeprowadzenia zaawansowanych cyberataków uległy wraz z zastosowaniem AI zdecydowanemu zwiększeniu. Według badaczy z Anthropic, trend zaangażowania AI do prowadzenia cyberataków, przewidziany już jakiś czas temu, będzie się teraz nasilał. Systemy agentowe AI mogą teraz wykonywać pracę całych zespołów doświadczonych hakerów, umożliwiając nawet mniej doświadczonym i zasobnym grupom przeprowadzanie ataków na dużą skalę. Zaobserwowany atak stanowi eskalację zastosowania AI, w porównaniu do wcześniejszych cyberataków, gdzie człowiek pozostawał głównym reżyserem operacji.

Firma podkreśla, że możliwości, które pozwoliły na użycie Claude’a w atakach, są również kluczowe dla cyberobrony. Anthropic sam intensywnie wykorzystał Claude’a do analizy ogromnych ilości danych wygenerowanych podczas tego dochodzenia.

Anthropic zaleca zespołom bezpieczeństwa, aby podejmowały próby wykorzystania AI w obronie w zakresie automatyzacji SOC, wykrywania zagrożeń, oceny luk i reagowanie na incydenty. Z kolei deweloperzy powinni wzmocnić inwestycje w zabezpieczenia na platformach AI, aby zapobiegać wykorzystaniu swoich rozwiązań, baz i repozytoriów przez hakerów.