Команда AI for Devs подготовила перевод статьи о первой зафиксированной кибератаке, почти полностью выполненной ИИ. Атака, где человек нужен лишь для того, чтобы пару раз «подтвердить заказ», — и это уже не фантастика, а реальность 2025 года.

Недавно мы утверждали, что в кибербезопасности наступил переломный момент: ИИ-модели стали по-настоящему полезны для операций в этой сфере — как во благо, так и во вред. Это заключение основывалось на систематических оценках, показавших, что кибервозможности удвоились за полгода; мы также отслеживали реальные кибератаки и видели, как злоумышленники используют возможности ИИ. Мы ожидали дальнейшей эволюции этих возможностей, но особенно поразило то, как стремительно они масштабируются.

В середине сентября 2025 года мы заметили подозрительную активность, которая, как позже выяснилось, была частью крайне изощрённой шпионской операции. Нападавшие использовали «агентные» возможности ИИ в беспрецедентном объёме — задействовав ИИ не просто как советчика, а как исполнителя самих кибератак.

Этот злоумышленник — по нашей высокой оценке, группа, поддерживаемая китайским государством — сумел манипулировать нашим инструментом Claude Code так, чтобы тот пытался проникнуть примерно в тридцать глобальных целей и в нескольких случаях преуспел. Операция была направлена против крупных технологических компаний, финансовых организаций, производителей химической продукции и государственных учреждений. Мы считаем, что это первый задокументированный случай масштабной кибератаки, проведённой без значимого участия человека.

Обнаружив эту активность, мы немедленно начали расследование, чтобы понять её характер и масштабы. В течение последующих десяти дней, по мере того как мы выявляли серьёзность и полную картину операции, мы блокировали обнаруженные аккаунты, уведомляли затронутые организации, а также взаимодействовали с властями, собирая данные, готовые к использованию.

Эта кампания имеет серьёзные последствия для кибербезопасности в эпоху ИИ-«агентов» — систем, которые могут автономно работать длительное время и выполнять сложные задачи почти без участия человека. Такие агенты ценны в повседневной работе и повышении продуктивности — но в руках злоумышленников они резко повышают реальность масштабных кибератак.

Скорее всего, эффективность подобных атак будет только расти. Чтобы не отставать от этой стремительно развивающейся угрозы, мы расширили наши возможности обнаружения и разработали улучшенные классификаторы для выявления вредоносной активности. Мы постоянно работаем над новыми методами расследования и обнаружения крупных распределённых атак такого типа.

Тем временем мы делимся этим случаем публично, чтобы помочь индустри��, государственным структурам и исследовательскому сообществу укреплять собственные средства защиты. Мы и дальше будем регулярно публиковать подобные отчёты и открыто рассказывать об угрозах, которые выявляем.

Как устроена кибератака

Атака опиралась на несколько возможностей ИИ-моделей, которых либо вовсе не существовало, либо они были в зачаточном состоянии всего год назад:

• Интеллект. Общий уровень возможностей моделей вырос до того, что они способны понимать сложные инструкции и контекст, выполняя крайне высокоуровневые задачи. Более того, их хорошо развитые специфические навыки — в особенности программирование — напрямую подходят для использования в кибератаках.

• Агентность. Модели могут выступать в роли агентов — то есть работать в циклах, предпринимать автономные действия, связывать задачи в цепочки и принимать решения при минимальных и редких вмешательствах человека.

• Инструменты. Модели получили доступ к широкому набору программных инструментов (часто через открытый стандарт Model Context Protocol). Теперь они могут искать информацию в интернете, получать данные и выполнять множество действий, которые раньше были доступны только операторам-людям. В случае кибератак такие инструменты могут включать взломщики паролей, сетевые сканеры и другое специализированное ПО.

Ниже приведена схема, показывающая различные этапы атаки — каждый из них опирался на все три перечисленных развития:

На первом этапе операторы (люди) выбирали цели (например, компанию или госучреждение, в которое нужно проникнуть). Затем они разработали атакующий фреймворк — систему, способную почти автономно взломать выбранную цель при минимальном участии человека. В этом фреймворке Claude Code использовался как автоматизированный инструмент для проведения киберопераций.

На этом этапе злоумышленникам нужно было убедить Claude — который тщательно обучен избегать вредоносных действий — участвовать в атаке. Они сделали это, применив джейлбрейк: фактически обманули модель, заставив её обходить защитные ограничения. Они разбили атаку на небольшие, на вид безобидные задачи, которые Claude выполнял без полного контекста их вредоносного назначения. Злоумышленники также внушили Claude, что он — сотрудник легитимной фирмы в сфере кибербезопасности и участвует в тестировании защиты.

Затем они перешли ко второму этапу, где Claude Code исследовал системы и инфраструктуру целевой организации и определял наиболее ценные базы данных. Claude проводил такую разведку за доли того времени, которое потребовалось бы команде хакеров-людей. После этого он отправлял операторам сводку своих находок.

В последующих этапах Claude выявлял и проверял уязвимости в системах целевых организаций, исследуя их и самостоятельно пиша эксплойты. Сделав это, фреймворк ��спользовал Claude для сбора учётных данных (логинов и паролей), которые давали ещё более глубокий доступ. Затем модель извлекала большой объём закрытых данных и сортировала их по уровню разведывательной ценности. Были выявлены учётные записи с максимальными привилегиями, созданы бэкдоры, а данные выводились за пределы систем при минимальном надзоре со стороны человека.

На заключительном этапе злоумышленники поручили Claude подготовить полноценную документацию атаки — удобные файлы с украденными учётными данными и описанием изученных систем, которые помогли бы фреймворку планировать следующую фазу киберопераций этой группы.

В целом злоумышленникам удалось переложить на ИИ 80–90% всей кампании, требуя вмешательства человека лишь время от времени (примерно 4–6 критически важных решений на одну серию взлома). Объём работы, выполненный ИИ, занял бы у команды людей колоссальное время. Модель делала тысячи запросов в секунду — скорость атаки, с которой хакеры-люди просто не смогли бы соперничать.

При этом Claude работал не идеально. Иногда он галлюцинировал учётные данные или утверждал, что получил секретную информацию, которая на деле была в открытом доступе. Это по-прежнему остаётся препятствием на пути к полностью автономным кибератакам.

Последствия для кибербезопасности

Порог входа для проведения сложных кибератак резко снизился — и, по нашим прогнозам, будет снижаться дальше. При правильной настройке злоумышленники теперь могут длительное время использовать агентные ИИ-системы, которые выполняют работу целых команд опытных хакеров: анализируют целевые системы, создают эксплойты и обрабатывают огромные объёмы украденных данных эффективнее любого оператора-человека. Это означает, что даже группы с меньшим опытом и ограниченными ресурсами потенциально могут осуществлять атаки подобного масштаба.

Эта атака стала шагом вперёд даже по сравнению с «vibe hacking», о котором мы сообщали этим летом: в тех операциях люди всё ещё активно участвовали и направляли действия ИИ. В данном случае участие человека было намного реже — даже несмотря на больший размах атаки. И хотя нам доступны данные только об использовании Claude, этот кейс, вероятно, отражает схожие модели поведения среди передовых ИИ-моделей и показывает, как злоумышленники адаптируют свои м��тоды под самые современные возможности ИИ.

Это поднимает важный вопрос: если модели ИИ можно так масштабно использовать для кибератак, зачем продолжать их развивать и выпускать? Ответ в том, что те же способности, которые позволяют использовать Claude в атаках, делают его критически важным для защиты. Когда неизбежно происходят сложные кибератаки, наша цель — чтобы Claude, в который встроены надёжные защитные механизмы, помогал специалистам по кибербезопасности обнаруживать, пресекать и предотвращать будущие версии подобных атак. На самом деле наша команда Threat Intelligence широко использовала Claude при анализе огромного массива данных, собранного в ходе этого расследования.

В кибербезопасности произошли фундаментальные изменения. Мы рекомендуем командам безопасности экспериментировать с применением ИИ для обороны — в таких областях, как автоматизация SOC, обнаружение угроз, оценка уязвимостей и реагирование на инциденты. Мы также призываем разработчиков продолжать инвестировать в защитные механизмы своих ИИ-платформ, чтобы предотвращать вредоносное использование. Описанные выше техники, несомненно, будут применять многие другие атакующие — что делает обмен информацией об угрозах, улучшение методов обнаружения и более сильные меры безопасности критически важными.

Источник | Полный отчёт

Русскоязычное сообщество про AI в разработке

Друзья! Эту статью подготовила команда ТГК «AI for Devs» — канала, где мы рассказываем про AI-ассистентов, плагины для IDE, делимся практическими кейсами и свежими новостями из мира ИИ. Подписывайтесь, чтобы быть в курсе и ничего не упустить!