Вот еще одна тревожная история из этой «золотой» эры ИИ. Хакер использовал чат-бот Claude от Anthropic для проведения атак на мексиканские государственные учреждения, согласно отчету Bloomberg. В результате было украдено 150 ГБ официальных государственных данных, включая налоговые записи, учетные данные сотрудников и многое другое.
Хакер использовал Claude для поиска уязвимостей в государственных сетях и написания скриптов для их эксплуатации. Также чат-боту ставилась задача найти способы автоматизации кражи данных, как указывает кибербезопасная компания Gambit Security. Это началось в декабре и продолжалось около месяца.
Похоже, хакеру удалось обойти ограничения Claude с помощью промтов, обойдя таким образом защитные механизмы чат-бота. Изначально Claude отказывался выполнять зловещие запросы, но в конечном итоге поддался.
«В общей сложности было составлено тысячи подробных отчетов, содержащих готовые к исполнению планы, точно указывающие оператору, какие внутренние цели атаковать дальше и какие учетные данные использовать», — заявил Кертис Симпсон, главный стратег Gambit Security.
Anthropic провела расследование заявлений, пресекла деятельность и заблокировала все задействованные учетные записи, сообщил представитель компании. Спикер также отметил, что их новейшая модель Claude Opus 4.6 включает инструменты для пресечения подобного злоупотребления.
Также сообщается, что этот хакер использовал ChatGPT для усиления атак, применяя чат-бот OpenAI для сбора информации о способах перемещения по компьютерным сетям, определения необходимых учетных данных для доступа к системам и методах избежания обнаружения. OpenAI заявляет, что выявила попытки хакера нарушить их политику использования, и что инструменты отказывались сотрудничать.
Личность хакера остается неизвестной. Атаки не были приписаны к какой-либо конкретной группе, но Gambit Security предположила, что они могут быть связаны с иностранным правительством. Также неясно, что хакер собирается делать со всеми этими данными.
Национальное цифровое агентство Мексики не комментировало утечку, но отметило, что кибербезопасность является приоритетом. Правительство штата Халиско отрицает факт взлома, утверждая, что пострадали только федеральные сети. Однако национальный избирательный институт Мексики также отрицает любые взломы или несанкционированный доступ за последнее время. Стоит отметить, что Gambit обнаружила по крайней мере 20 уязвимостей в системе безопасности во время своего исследования, которые страна, вероятно, не захочет афишировать.
Это не первый случай использования Claude для крупной кибератаки. В прошлом году хакеры в Китае манипулировали инструментом, чтобы попытаться проникнуть в десятки глобальных целей, причем несколько из этих попыток были успешными. Anthropic только что отказалась от своего давнего обещания безопасности, которое обязывало никогда не обучать систему ИИ, если невозможно заранее гарантировать адекватность мер безопасности. Так что кто знает, какие новые адские сценарии принесет будущее с развитием инструментов компании.
