17.11.2025 05:59
python_leader 0 184 Источник

Команда AI for Devs подготовила перевод статьи о том, почему свежий отчёт Anthropic о «кибершпионаже с помощью ИИ» вызывает больше вопросов, чем даёт ответов. Автор критикует отсутствие технических деталей, IoC и доказательной базы, а сам документ считает больше маркетинговым, чем аналитическим.

Недавно компания Anthropic, занимающаяся исследованиями в области ИИ, опубликовала отчёт. Это те самые ребята, которые создали Claude — AI-ассистента для программирования. Я сам им не пользуюсь, но это неважно. Прежде чем мы начнём, важно сказать: у меня нет ничего против них или ИИ вообще. У меня есть определённые задокументированные опасения, но я не «анти-ИИ» или что-то в этом духе. Меня раздражает не сама технология, а то, как индустрия её воспринимает и пытается напихать повсюду, даже там, где она не нужна. Хотя и это немного в стороне от темы.

Сегодня я хотел обсудить саму статью (или отчёт — как вам больше нравится), которую они недавно опубликовали. Уже в кратком изложении бросается в глаза вот этот абзац:

В середине сентября 2025 года мы обнаружили крайне продвинутую операцию кибершпионажа, проводимую группировкой, связанной с китайским государством, которой мы присвоили обозначение GTG-1002. Она представляет собой фундаментальный сдвиг в том, как продвинутые атакующие используют ИИ. Наше расследование выявило хорошо финансированную, профессионально скоординированную операцию, включавшую несколько параллельных целевых взломов. Кампания была направлена примерно на 30 организаций, и мы подтвердили несколько успешных проникновений.

Это интересно по многим причинам:

  • Похоже, Anthropic фактически сорвали кампанию APT (Постоянная серьезная угроза (англ. advanced persistent threat, APT) — термин кибербезопасности, означающий противника, обладающего современным уровнем специальных знаний и значительными ресурсами, которые позволяют ему создавать угрозу серьёзных кибератак), хотя под ударом оказались несколько компаний и госструктур;

  • Этот «суперпродвинутый» APT почему-то не использует собственную инфраструктуру, а полагается на Claude для координации автоматизации (??? Зачем вообще ?);

  • Я предполагаю, что они запускали эксплойты и кастомные инструменты? Если да, то какие?

  • Anthropic смогли атрибутировать атаку группе, связанной с китайским государством.

Если вы похожи на меня, вы дальше читаете отчёт с интересом, надеясь найти технические детали, TTP (Tactics, Techniques and Procedures) или IoC (Indicators of Compromise), чтобы продвинуть исследование. Но отчёт очень быстро «сдувается», что, мягко говоря, расстраивает.

Где IoC, мистер Claude?

Главная задача такого Threat-Intelligence-отчёта — предупредить другие стороны о новом типе атаки и дать артефакты, по которым можно обнаружить атаку в своей сети. Обычно это делается через публикацию доменов, связанных с кампанией, MD5 или SHA512-хэшей, которые можно проверить на таких платформах, как VirusTotal, или других индикаторов, позволяющих убедиться, что сеть чиста.
Например, вот публикация французского CERT (на французском, но есть и английская версия) о TTP APT28.

В ней видно:

  • MITRE ATT&CK используется для описания применённых техник (например: Account Manipulation, обход антивирусов и т. д.),

  • email-адреса, задействованные в фишинге, IP-адреса источников и даже даты рассылки,

  • инструменты (VPN-софт и другие средства), используемые APT,

  • набор рекомендаций.

Этот отчёт — просто первый попавшийся из их публикаций. Любой серьёзный CERT или Threat-Intel-вендор публикует материалы именно в таком формате, потому что это индустриальный стандарт. Они делаются публичными, чтобы центры безопасности (SOC) по всему миру могли выявлять и предотвращать подобные атаки.

PoC || GTFO

В нашем случае ничего из этого в отчёте нет. И вообще, большая часть информации никак не проверяется, что само по себе проблема.

Оператор поручил нескольким инстансам Claude Code работать группами как автономным оркестратором и агентами для пентестов, а злоумышленник смог использовать ИИ для выполнения 80–90% тактических операций самостоятельно, с физически невозможной частотой запросов.

Эта цифра (80–90%) тоже не подтверждается ничем. Откуда нам знать, что это правда? У меня нет сомнений, что так называемые автономные агенты используются в кампаниях в какой-то роли. Но в отчёте прямо утверждается, что автономные агенты выполняли активную эксплуатацию и даже эксфильтрацию данных.

Какие инструменты при этом использовались? Какую информацию извлекали? Кто находится в зоне риска? Как CERT может выявить ИИ-агента в своей сети? Ни на один из этих вопросов отчёт не отвечает. При этом у Anthropic должны быть эти данные, ведь они говорят, что остановили атаку.

Получив разрешение от операторов, Claude выполнял систематический сбор учётных данных в целевых сетях. Это включало опрос внутренних сервисов, извлечение сертификатов аутентификации из конфигураций и тестирование собранных учёток на обнаруженных системах.

Как? Он запускал Mimikatz? Лез в облачные окружения? Мы даже не знаем, какие системы пострадали. Нет деталей, нет фактов, которые могли бы подтвердить эти заявления или помочь другим защитить свои сети.

Дальше говорится, что после обнаружения злоупотребления аккаунты были закрыты и внедрены какие-то «улучшения», а затем следует вот эта жемчужина:

Мы уведомили соответствующие органы и отраслевых партнёров, и поделились информацией с затронутыми организациями, где это было уместно.

И что это вообще значит? Вы утверждаете, что ваши агенты нашли уязвимости в нескольких сервисах. Они были исправлены? Что насчёт украденных данных? Что насчёт пострадавших людей? Вам вообще неважно?

Пару слов напоследок

Да, вполне вероятно, что злоумышленники используют таких агентов в плохих целях — никто с этим не спорит. Но этот отчёт не соответствует уровню публикаций серьёзных компаний. То же касается исследований в других областях. Нельзя просто заявлять что-то и не приводить никаких подтверждений, и индустрия не должна терпеть подобный подход.

Похоже, у технокомпаний (особенно в ИИ, но не только у них) появилась мода что-то громко анонсировать, разогревать хайп, а потом не дотягивать. То, что это работает на венчуров, не значит, что это должно работать на нас. Индустрия должна требовать большего.

Например, атаки в отчёте приписываются группе, связанной с китайским государством (!!!), но никаких подробностей нет. Какой это APT? Что позволило это определить?

Атрибуция — крайне серьёзная вещь, иногда с дипломатическими последствиями. Нельзя просто ткнуть пальцем в кого-то и ждать, что все поверят на слово. В условиях, когда напряжённость между Западом и Китаем растёт, это выглядит решением не из умных. Честно, я не понимаю, кто додумался одобрить публикацию в таком виде. По сути, «продвинутыми злоумышленниками» могут оказаться обычные скрипт-кидди, автоматизирующие ffuf и sqlmap.

Если они опубликуют IoC и доказательства, я с удовольствием поделюсь ими здесь. Но пока этого нет, скажу так: этот документ не прошёл бы ни один нормальный ревью. Делать серьёзные обвинения без доказательств — это в лучшем случае безответственно. Да, я знаю, что китайские APT существуют и очень агрессивны, и да, я знаю, что злоумышленники активно злоупотребляют LLM — но это не меняет сути. Нужны факты. Нужны данные, которые можно проверить. Иначе любой может сказать всё, что угодно, прикрывшись тем, что «ну это наверняка происходит». Но этого недостаточно.

Раз отчёт не даёт никаких деталей по TTP и детекции, то какой у него вообще был смысл?

В конце есть абзац, который намекает:

Сообщество кибербезопасности должно исходить из того, что случился фундаментальный сдвиг: командам безопасности стоит экспериментировать с применением ИИ в защите — автоматизация SOC, обнаружение угроз, оценка уязвимостей, реагирование на инциденты — и накапливать опыт работы с тем, что эффективно именно в их среде.

«Командам безопасности стоит экспериментировать с применением ИИ в защите».

Хмм. А кто же продаёт такой ИИ, о котором они говорят?

В итоге, этот отчёт — жалкая пародия на расследование и, по сути, не что иное, как бессовестная попытка продать свой продукт. Это постыдно и крайне непрофессионально. Такое наплевательское отношение к базовым принципам этики ради небольшой выгоды вызывает у меня желание никогда их продукт не использовать.

Сделайте лучше.

Русскоязычное сообщество про AI в разработке

Друзья! Эту статью подготовила команда ТГК «AI for Devs» — канала, где мы рассказываем про AI-ассистентов, плагины для IDE, делимся практическими кейсами и свежими новостями из мира ИИ. Подписывайтесь, чтобы быть в курсе и ничего не упустить!

Комментарии (0)