Gli hacker cinesi hanno automatizzato il 90% delle campagne di spionaggio antropico Claude ha violato quattro delle 30 organizzazioni selezionate come obiettivi.
"Hanno suddiviso i loro attacchi in compiti piccoli e apparentemente innocenti che Claude avrebbe dovuto svolgere senza che gli fosse stato fornito il contesto completo dei loro scopi dannosi." Jacob Klein, responsabile dell’intelligence sulle minacce di Anthropic, ha dichiarato a VentureBeat:
I modelli di intelligenza artificiale hanno raggiunto un traguardo prima di quanto si aspettassero i ricercatori più esperti sulle minacce; Ciò è dimostrato dal fatto che gli hacker possono eseguire il jailbreak di un modello e lanciare attacchi senza essere scoperti. Nascondere le richieste come parte di un legittimo tentativo di test di penetrazione per rubare dati riservati da 30 organizzazioni prese di mira riflette quanto potenti siano diventati i modelli. Il jailbreak e l’utilizzo come arma di un modello contro obiettivi non sono più scienza missilistica. Ora è diventata una minaccia democratizzata che qualsiasi aggressore o stato nazionale può utilizzare a suo piacimento.
Klein ha spiegato. Wall StreetJournalCosa rompe la storia "Gli hacker hanno sferrato i loro attacchi letteralmente con un clic." In una violazione, "Gli hacker hanno manipolato gli strumenti Claude AI di Anthropic per interrogare i database interni ed estrarre i dati in modo indipendente." Gli operatori umani sono intervenuti solo in 4-6 punti decisionali per campagna.
L’architettura che lo rende possibile
La sofisticatezza dell’attacco contro 30 organizzazioni non è contenuta negli strumenti; È nell’orchestrazione. Gli aggressori hanno utilizzato software per test di penetrazione delle merci che chiunque può scaricare. Gli aggressori hanno meticolosamente suddiviso operazioni complesse in compiti apparentemente innocui. Claude pensava che stesse effettuando controlli di sicurezza.
L’ingegneria sociale era un dato di fatto: gli aggressori si spacciavano per dipendenti di aziende di sicurezza informatica che conducevano test di penetrazione autorizzati, ha detto Klein al WSJ.
Fonte: antropico
Architettura in dettaglio Il rapporto di Antropikespone i server MCP (Model Context Protocol) che instradano simultaneamente più agenti secondari Claude all’infrastruttura di destinazione. Il rapporto spiega come farlo "Il framework utilizzava Claude come sistema di orchestrazione che scomponeva complessi attacchi a più fasi in attività tecniche separate come la scansione delle vulnerabilità, la verifica delle credenziali, l’estrazione dei dati e il movimento laterale per gli agenti secondari di Claude, ognuno dei quali appariva legittimo se valutato separatamente."
Questa separazione è stata fondamentale. Gli aggressori hanno provocato Claude all’azione presentando i compiti senza un contesto più ampio. "Esecuzione di singoli componenti di catene di attacco senza accesso a contenuti dannosi più ampi" secondo il rapporto.
La velocità di attacco ha raggiunto più operazioni al secondo ed è stata sostenuta instancabilmente per ore. Il coinvolgimento umano è sceso al 10-20% dello sforzo. Le tradizionali campagne da tre a sei mesi sono compresse in 24-48 ore. Segnala documenti "l’attività di picco includeva migliaia di richieste, che rappresentano tassi di richiesta sostenuti di più di una transazione al secondo."
Fonte: antropico
La progressione dell’attacco in sei fasi documentata nel rapporto di Anthropic mostra come l’autonomia dell’IA aumenta con ciascuna fase. Fase 1: L’essere umano seleziona il bersaglio. Fase 2: Claude esplora l’intera rete mappandola in modo autonomo "Servizi interni all’interno di reti mirate attraverso una numerazione sistematica." Fase 3: Claude identifica e verifica le vulnerabilità, inclusi i difetti SSRF. Fase 4: raccolta delle credenziali attraverso le reti. Fase 5: Estrazione dei dati e classificazione dell’intelligence. Fase 6: documentazione completa per il trasferimento.
"Claude stava facendo quasi tutto il lavoro della squadra rossa." Klein ha detto a VentureBeat. La scoperta, lo sfruttamento, il movimento laterale e l’estrazione dei dati avvenivano con una guida umana minima tra le fasi. Il rapporto di Anthropics afferma: "La campagna ha dimostrato un’integrazione e un’autonomia dell’intelligenza artificiale senza precedenti durante tutto il ciclo di vita dell’attacco, con Claude Code che supporta ricognizione, scoperta di vulnerabilità, sfruttamento, movimento laterale, raccolta di credenziali, analisi dei dati e operazioni di penetrazione in modo ampiamente autonomo."
In che modo i modelli di armamento appiattiscono la curva dei costi degli attacchi APT?
Le tradizionali campagne APT richiedevano ciò che il report documentava "10-15 operatori qualificati," "sviluppo di malware personalizzato," E "mesi di preparazione." GTG-1002 necessitava solo dell’accesso all’API Claude, di server Model Context Protocol open source e di strumenti di test di penetrazione delle merci.
"Ciò che ci ha sorpreso è stata l’efficienza." Klein ha detto a VentureBeat. "Vediamo che la capacità dello Stato nazionale viene raggiunta con le risorse a disposizione di qualsiasi gruppo criminale di medie dimensioni."
Il rapporto afferma: "Una dipendenza minima da strumenti proprietari o dallo sviluppo di exploit avanzati suggerisce che le capacità informatiche sono sempre più guidate dall’orchestrazione delle risorse di base piuttosto che dall’innovazione tecnica."
Klein ha evidenziato le capacità di esecuzione autonoma in una conversazione con VentureBeat. Il rapporto indipendente conferma Claude "infrastruttura target scansionata, servizi ed endpoint enumerati, superfici di attacco mappate," Dopo "rilevata vulnerabilità SSRF, studiato tecniche di sfruttamento," e creato "payload personalizzato, sviluppo della catena di exploit, verifica della capacità di exploit tramite risposte di callback."
Claude contro un’azienda tecnologica nel rapporto "Esegui query in modo indipendente su database e sistemi, estrai dati, analizza i risultati per identificare informazioni specifiche e classifica i risultati in base al valore di intelligence."
"Il fattore di compressione è ciò che le aziende devono comprendere," Klein ha detto a VentureBeat. "Il processo che prima richiedeva mesi, ora richiede giorni. Ciò che richiedeva competenze specialistiche ora richiede conoscenze di routing di base."
Lezioni apprese sugli indicatori critici di rilevamento
"I modelli erano così diversi dal comportamento umano che era come guardare una macchina comportarsi come se fosse un essere umano." Klein ha detto a VentureBeat. Segnala documenti "richieste fisicamente impossibili" con "Tassi di richieste sostenute di più di una transazione al secondo."
Il rapporto individua tre categorie di indicatori:
Modelli di traffico: "Richiedi velocità di transazioni multiple al secondo" con "Disparità significativa tra input di dati e output di testo."
Analisi della query: Compiti separati, come li chiama Klein "compiti piccoli e apparentemente innocenti" — query tecniche da cinque a dieci parole prive di schemi di scansione umana. "Ogni domanda sembrava legittima di per sé," Klein ha spiegato a VentureBeat. "Il modello di attacco è emerso solo in massa."
Comportamenti di autenticazione: Dettagli del rapporto "Raccolta sistematica di credenziali su reti mirate" con Claudio "Determina in modo indipendente quali credenziali accedono a quali servizi, mappando i livelli di privilegio e i limiti di accesso senza la guida umana."
"Abbiamo ampliato le capacità di rilevamento per tenere ulteriormente conto dei nuovi modelli di minaccia, incluso il miglioramento dei nostri classificatori incentrati sul cyber." Klein ha detto a VentureBeat. antropico "Prototipazione di sistemi proattivi di rilevamento precoce per attacchi informatici autonomi."
