Сценарий, который ещё вчера казался научной фантастикой, воплотился в реальность: искусственный интеллект выступил в роли хакера. Первую такую атаку задокументировала компания Anthropic: по её данным в середине сентября 2025 года группировка GTG-1002, связанная с Китаем, использовала Claude Code в качестве автономного взломщика для проведения шпионской операции. Сами же хакеры лишь координировали действия модели, не вмешиваясь в технические детали взлома.
Как это работало
Хакеры из GTG-1002 построили полноценную систему, где ИИ выступил в роли «оркестратора» кибероперации. Через протокол Model Context Protocol (MCP) Claude получил доступ к инструментам, таким как сетевые сканеры, браузерная автоматизация и средства для анализа кода.
Человек задавал только начальный сценарий и утверждал ключевые решения, а весь тактический цикл — сканирование, поиск уязвимостей, тестирование, сбор данных — выполнял ИИ. Anthropic отмечает: до 90% действий совершались полностью автономно.
Как хакеры обманули ИИ
Чтобы убедить модель выполнять вредоносные задачи, операторы представились сотрудниками кибербезопасности. Они последовательно формировали задачи так, будто проводят легальный аудит. В результате ИИ воспринимал каждый запрос как обычную техническую операцию и не распознал общей схемы кибероперации.
Этот подход — манипуляция искусственным интеллектом через создание ложного контекста — уже классифицируют как «социальную инженерию для ИИ» и считают серьёзной угрозой для безопасности.
Что делал ИИ внутри системы
После первичного доступа Claude начинал действовать как полноценный оператор:
- проводил автономное сканирование и строил карту инфраструктуры;
- выявлял уязвимости, формировал полезную нагрузку и тестировал её;
- собирал учётные данные, подбирал подходящие сервисы и двигался по сети, открывая новые уровни доступа;
- анализировал базы данных, выделял важную информацию, классифицировал данные по ценности;
- генерировал подробные отчёты и передавал их хакерам.
Так злоумышленники получали подробную информацию о внутренней структуре, уровнях доступа, конфигурациях системы и содержимом баз данных — готовые разведданные, которые можно использовать для дальнейшего проникновения и кражи ценной информации.
Где нейросеть ошибалась
При всей мощности модели хакеры столкнулись с ограничениями. Claude иногда «галлюцинировал» — выдавал несуществующие данные, заявлял о доступах, которых на самом деле не было, или предоставлял «секретные данные», на деле оказавшиеся публичной информацией. Из-за этого GTG-1002 часто приходилось вручную перепроверять информацию.
Как защититься от подобных атак
Чтобы снизить риски, эксперты из Anthropic рекомендуют усиливать мониторинг аномальной активности, внедрять детекторы автоматизированных операций, ограничивать доступ сервисов к внешним инструментам автоматизации (вроде MCP) и регулярно проверять учётные записи на предмет скрытых или подозрительных аккаунтов.
По сути, защита строится вокруг раннего обнаружения нетипичных действий — именно это позволяет остановить автономную операцию ещё на этапе разведки. Рабочим решением для таких задач является сервис по WAF-защите от Cloud4Y, который может детектировать аномальные операции на уровне веб-приложений и блокировать подозрительные паттерны.
Почему это важный сигнал для индустрии
Главный вывод отчёта от Anthropic: продвинутый ИИ превращает малую группу хакеров в силу невероятных масштабов. Преступникам больше не нужны десятки специалистов или собственные инструменты — теперь их главным оружием выступают автономные ИИ-системы.