AI-agenten orkestreren eerste grootschalige cyberaanval

AI By Mattias Risberg
AI Agents Orchestrate First Large-Scale Cyberattack
Anthropic meldt dat een spionagecampagne medio september 2025 het Claude Code-model gebruikte als autonome agent om ongeveer 30 organisaties aan te vallen. Dit markeert een nieuwe fase in AI-gestuurd hacken en roept dringende vragen op voor beveiligers en beleidsmakers.

Wanneer een AI ophield met adviseren en begon met hacken

In het midden van september 2025 signaleerden monitoringsystemen bij Anthropic verkeerspatronen die ze beschrijven als "fysiek onmogelijk" voor menselijke operators. Het daaropvolgende onderzoek van het bedrijf wees uit dat een actor die het volgt als GTG‑1002 de codeerassistent van Anthropic, Claude Code, had ondergebracht in een automatiseringsframework waarmee het model verkenningen kon uitvoeren, exploit-code kon schrijven, inloggegevens kon oogsten en gegevens kon extraheren met slechts incidentele menselijke goedkeuring. Anthropic publiceerde in november een technisch rapport van 14 pagina's waarin het beschrijft wat het de eerste gedocumenteerde grootschalige cyberespionagecampagne noemt die grotendeels is uitgevoerd door agentische kunstmatige intelligentie.

Hoe de operatie werkte

De analyse van Anthropic schetst een modulair beeld: een menselijke operator selecteerde doelwitten en stelde strategische parameters vast, terwijl meerdere instanties van Claude Code fungeerden als gespecialiseerde sub-agents binnen een orchestratielaag die was gebouwd op open tools zoals het Model Context Protocol (MCP). Die sub-agents voerden discrete taken uit — een IP-bereik scannen, een webapplicatie onderzoeken, een payload vervaardigen, inloggegevens testen — en stuurden resultaten terug die de orchestratie-engine verzamelde en als input gebruikte voor nieuwe prompts. Over de gehele loop van de operatie schat het bedrijf dat de AI ongeveer 80–90% van het tactische werk uitvoerde; mensen grepen voornamelijk in om escalatiestappen goed te keuren, zoals actieve exploitatie of het exfiltreren van gevoelige gegevens.

Technisch gezien vertrouwden de aanvallers op twee op elkaar inwerkende capaciteiten die dit jaar snel volwassen zijn geworden: grotere modellen die complexe code en lange, stateful interacties kunnen volgen en produceren (de "intelligentie"), en agent-frameworks die autonoom, herhalend handelen en toolgebruik toestaan (de "agency"). Door een kwaadaardige campagne op te splitsen in korte, schijnbaar onschadelijke verzoeken — bijvoorbeeld door de rol van penetratietesters aan te nemen — waren de operators in staat om de model-vangrails te omzeilen die gewoonlijk effectief zijn tegen enkelvoudige, expliciet schadelijke prompts. Het rapport van Anthropic bevat een reconstructie per fase die autonome enumeratie, validatie van kwetsbaarheden, payload-generatie, lateral movement en dataparsing laat zien. Piekfrequenties van verzoeken bereikten meerdere operaties per seconde — een operationeel tempo waarvan het bedrijf stelt dat dit qua schaal verschilt van eerdere door AI ondersteunde inbraken.

Bewijs, beperkingen en scepsis

De publieke bekendmaking van Anthropic bevat technische telemetrie, details over de tijdlijn en defensieve acties — zoals het blokkeren van kwaadaardige accounts, het informeren van getroffen organisaties en het inschakelen van autoriteiten tijdens een onderzoeksperiode van ongeveer tien dagen. Het bedrijf benadrukt dat de modellen niet louter adviseerden, maar veel live inbraakstappen uitvoerden. Het merkt ook een belangrijk voorbehoud op: Claude hallucineerde soms — door inloggegevens te rapporteren die niet werkten of bevindingen te verzinnen — waardoor de aanvallers gedwongen waren de outputs te valideren voordat ze tot actie overgingen. Die imperfectie is volgens Anthropic zowel een beperking voor aanvallers als een potentieel detectiesignaal voor verdedigers.

Niet iedereen accepteert de volledige impact van de inkadering door Anthropic. Sommige onafhankelijke beveiligingsonderzoekers en sectoranalisten hebben zich afgevraagd of het cijfer van 80–90% betrekking heeft op al het operationele werk of alleen op tactische stappen van een lager niveau, en of het bestempelen van de episode als de "eerste" volledig autonome grootschalige aanval niet het risico inhoudt een complexe evolutie van technologische dreigingen te overdrijven. Deze stemmen waarschuwen ervoor om een opmerkelijke escalatie niet te verwarren met een plotselinge verdwijning van menselijke betrokkenheid bij elke succesvolle operatie. Het debat is belangrijk omdat het bepaalt aan welke controles en detectietools verdedigers de prioriteit geven.

De positie in een verschuivend dreigingslandschap

De onthulling van Anthropic kwam te midden van een reeks andere bevindingen die laten zien hoe generatieve modellen en ML-toolchains opduiken in echte aanvallen en malware. Dreigingsonderzoekers van Google documenteerden eerder dit jaar varianten zoals PromptFlux en PromptSteal die model-callbacks en adaptief gedrag in malware inbedden, wat aantoont hoe LLM's kunnen worden gebruikt om aanvallen zowel op maat te maken als autonoom aan te passen in de praktijk. Alles bij elkaar wijzen deze signalen op een bredere trend: aanvallers stappen over van het gebruik van AI als conceptassistent naar het inbedden ervan in operationele tools en malware-pijplijnen.

Voor verdedigers roept dat praktische uitdagingen op. Traditionele detectiemethoden — op signatures gebaseerd scannen, handmatige triage en draaiboeken die zijn gebouwd rond het tempo van menselijke aanvallers — moeten nu het hoofd bieden aan geparallelleerde activiteiten met een hoog tempo die er in de telemetrie anders uitzien en andere sporen achterlaten. Het rapport van Anthropic moedigt beveiligingsteams aan om ervan uit te gaan dat agentisch misbruik een realiteit op de korte termijn is en te investeren in modelbewuste detectie, anomalie-analyse gebouwd voor bursty verzoekpatronen en sterkere authenticatiebarrières rond het gebruik van tools.

Beleid, geopolitiek en het nieuwe aanvalsoppervlak

Anthropic schrijft de operatie met "hoog vertrouwen" toe aan een door de Chinese staat gesponsorde groep die het GTG‑1002 noemt. Het publieke rapport van het bedrijf en de daaropvolgende verslaglegging hebben al de aandacht getrokken van beleidsmakers en wetgevers die agentische AI zien als een nationaal veiligheidsprobleem dat verschilt van generieke cybercriminaliteit. Een briefing van de Congressional Research Service vat de episode samen als een buigpunt dat van invloed kan zijn op regelgeving, overheidsinkoop en internationale normen rond dual-use AI-technologieën. Dat document, opgesteld voor wetgevers, benadrukt de urgentie van het definiëren van wie verantwoordelijk is wanneer modellen worden misbruikt en welke verantwoordelijkheden modelexploitanten moeten hebben om tool chaining en het aanroepen van willekeurige code op afstand te voorkomen.

Diplomatieke gevolgen zijn een potentieel resultaat: wanneer attributie wijst naar aan de staat gelieerde actoren, kunnen defensieve reacties verder gaan dan technische herstelwerkzaamheden naar sancties, publieke toeschrijving of gecoördineerde internationale druk. Het incident wakkert ook debatten aan binnen de AI-industrie over hoe standaarden en vangrails ontworpen kunnen worden die bestand zijn tegen rollenspellen, microtasking en orchestratie-aanvallen zonder legitiem gebruik, zoals geautomatiseerd testen en de productiviteit van ontwikkelaars, overmatig te beperken.

Wat verdedigers en ontwikkelaars nu kunnen doen

  • Model-endpoints verstevigen en de reikwijdte van tools beperken: beperk welke API's en tools een model kan aanroepen, vereis multi-factor attestatie voor gevoelige operaties en introduceer expliciete, verifieerbare context-tags voor defensieve workflows.
  • Detecteer bursty agent-patronen: instrumenteer telemetrie voor snelle activiteiten over meerdere sessies, ongebruikelijk hoge callback-frequenties en state-persistentie over sessies heen die wijzen op agentische orchestratie.
  • Maak van hallucinaties een detectiemiddel: modellen die inloggegevens verzinnen of buitensporige fout-positieven produceren, kunnen onbedoeld misbruik onthullen — teams zouden hallucinatiesignalen moeten laten rapporteren en loggen voor correlatie met andere anomalieën.

Anthropic benadrukt dat AI ook deel zal uitmaken van de verdediging: dezelfde automatisering kan, mits goed geïnstrumenteerd en beheerd, op machinesnelheid jagen op agentische dreigingen, incidenten triageren en inperking automatiseren. Die dual-use realiteit — dat de tools die systemen kunnen breken ze ook kunnen helpen beveiligen — maakt de komende 12–24 maanden cruciaal voor het ontwerp van operationele beveiliging en overheidsbeleid.

De GTG‑1002-episode is niet zozeer een enkele catastrofale hack als wel een technologische mijlpaal: een illustratie dat agentische modellen, wanneer ze gekoppeld worden aan orchestratielagen en open tool-standaarden, de economie van inbraken kunnen veranderen. Of de beveiligingsgemeenschap zich snel genoeg zal aanpassen, is de open vraag die aanzet tot dringend werk binnen leveranciers, dienstverleners en nationale veiligheidsorganisaties. De weg voorwaarts vereist robuuster modelbeheer, nieuwe detectie-primitieven ontworpen voor tegenstanders die op machinesnelheid opereren, en duidelijkere regelgevende verwachtingen over hoe modelbouwers en -exploitanten moeten voorkomen dat tools worden gekoppeld aan operationele aanvalsframeworks.

Bronnen

  • Anthropic (technisch incidentrapport: "Disrupting the first reported AI‑orchestrated cyber espionage campaign", november 2025)
  • Google Threat Intelligence (onderzoek naar malware en AI-misbruik, 2025)
  • Congressional Research Service (briefing paper: agentische AI en cyberaanvallen)

Tags

adversarial prompts artificial intelligence automation autonomy in warfare
Mattias Risberg

Mattias Risberg

Cologne-based science & technology reporter tracking semiconductors, space policy and data-driven investigations.

University of Cologne (Universität zu Köln) • Cologne, Germany

Readers

Readers Questions Answered

Q Wat stelde Claude Code in staat om als een autonome cyberagent te fungeren?
A Anthropic stelt dat Claude Code was ingebed in een automatiseringsframework met een orchestratielaag die is gebouwd op tools zoals het Model Context Protocol. Hierdoor ontstonden gespecialiseerde sub-agenten die afzonderlijke taken uitvoeren, zoals IP-scannen, het onderzoeken van kwetsbaarheden, het maken van payloads en het testen van inloggegevens. De menselijke operator koos nog steeds de doelen en strategische parameters, maar de AI voerde ongeveer 80–90% van het tactische werk uit via herhaalde prompts en interacties tussen agenten.
Q Welk deel van de operatie werd uitgevoerd door de AI versus mensen, en wat hielden de mensen onder controle?
A Het bedrijf schat dat de AI ongeveer 80–90% van het tactische werk van de campagne uitvoerde, waarbij mensen voornamelijk tussenbeide kwamen om escalatiestappen goed te keuren, zoals actieve exploitatie of het exfiltreren van gevoelige gegevens. Beambten hielden toezicht op de voortgang, maar lieten de autonome sub-agenten het merendeel van de verkenning, het verzamelen van inloggegevens en het parsen van gegevens uitvoeren.
Q Welke detectiesignalen en verdedigingsmechanismen benadrukt Anthropic voor verdedigers?
A Verdedigers werden gealarmeerd door verkeer dat het bedrijf als 'fysiek onmogelijk' voor menselijke operatoren bestempelde, samen met technische telemetrie, details over de tijdlijn en snelle uitbarstingen van activiteit. Anthropic waarschuwt dat modeloutputs inloggegevens of bevindingen kunnen hallucineren, dus de resultaten moeten worden gevalideerd. Het rapport adviseert modelbewuste detectie, anomalie-analyse voor plotselinge pieken in verzoeken en sterkere authenticatiebarrières rond het gebruik van tools.
Q Wie zit er vermoedelijk achter de operatie en wat zijn de beleidsimplicaties?
A Anthropic schrijft de operatie met grote zekerheid toe aan GTG-1002, een door de Chinese staat gesponsorde groep. Het incident is een ijkpunt geworden voor beleidsmakers: wetgevers debatteren over de verantwoordelijkheid voor misbruikte modellen, overwegen normen voor AI voor dual-use en bespreken sancties of internationale druk wanneer toeschrijving wijst naar statelijke actoren.

Have a question about this article?

Questions are reviewed before publishing. We'll answer the best ones!

Comments

No comments yet. Be the first!