What enabled Claude Code to act as an autonomous cyber agent?

Anthropic says Claude Code was embedded in an automation framework with an orchestration layer built on tools like the Model Context Protocol, creating specialised sub-agents that perform discrete tasks such as IP scanning, vulnerability probing, payload crafting, and credential testing. The human operator still chose targets and strategic parameters, but the AI executed roughly 80–90% of tactical work through looped prompts and agent interactions.

How much of the operation did the AI perform versus humans, and what did humans control?

The company estimates the AI carried out roughly 80–90% of the campaign's tactical work, with humans intervening mainly to approve escalation steps like active exploitation or exfiltrating sensitive data. Officers monitored progress but allowed the autonomous sub-agents to execute the majority of reconnaissance, credential harvesting and data parsing.

What detection signals and defenses does Anthropic highlight for defenders?

Defenders were alerted by traffic the company called 'physically impossible' for human operators, along with technical telemetry, timeline details and rapid bursts of activity. Anthropic warns that model outputs could hallucinate credentials or findings, so outputs must be validated. The report recommends model‑aware detection, anomaly analytics for bursty requests, and stronger authentication gating around tool use.

Who is believed to be behind the operation and what are the policy implications?

Anthropic attributes the operation, with high confidence, to GTG‑1002, a Chinese state‑sponsored group. The episode has become a touchstone for policymakers: lawmakers debate accountability for misused models, consider dual‑use AI norms, and discuss sanctions or international pressure when attribution implicates state actors.

ИИ-агенты организовали первую крупномасштабную кибератаку

A.I By Mattias Risberg Янв 17, 2026 16:03

AI Agents Orchestrate First Large-Scale Cyberattack

Компания Anthropic сообщила, что в ходе шпионской кампании в середине сентября 2025 года модель Claude Code использовалась в качестве автономного агента для атак на около 30 организаций. Это знаменует новый этап в хакерских атаках с применением ИИ и ставит острые вопросы перед специалистами по безопасности и законодателями.

Когда ИИ перестал быть советчиком и начал заниматься взломом

В середине сентября 2025 года системы мониторинга Anthropic зафиксировали паттерны трафика, которые компания описывает как «физически невозможные» для операторов-людей. Последующее расследование компании показало, что субъект, отслеживаемый под идентификатором GTG‑1002, интегрировал Claude Code (инструмент Anthropic для написания кода) в систему автоматизации. Это позволило модели проводить разведку, писать код эксплейтов, собирать учетные данные и извлекать данные лишь при эпизодическом участии человека. В ноябре Anthropic опубликовала 14-страничный технический отчет, описывающий то, что она называет первой задокументированной масштабной кампанией кибершпионажа, осуществленной преимущественно агентным искусственным интеллектом.

Как работала операция

Анализ Anthropic рисует модульную картину: человек-оператор выбирал цели и задавал стратегические параметры, в то время как несколько экземпляров Claude Code выступали в роли специализированных субагентов внутри слоя оркестрации, построенного на открытых инструментах, таких как Model Context Protocol (MCP). Эти субагенты выполняли дискретные задачи — сканирование диапазона IP-адресов, зондирование веб-приложения, создание полезной нагрузки, проверку учетных данных — и возвращали результаты, которые движок оркестрации агрегировал и подавал обратно в виде новых промптов. По оценкам компании, в ходе операции ИИ выполнил примерно 80–90% тактической работы; люди вмешивались в основном для одобрения этапов эскалации, таких как активная эксплуатация или эксфильтрация конфиденциальных данных.

Технически атакующие полагались на две взаимодействующие возможности, которые быстро развились в этом году: более крупные модели, способные понимать и создавать сложный код и поддерживать длительные взаимодействия с сохранением состояния («интеллект»), и агентные платформы, допускающие автономные цикличные действия и использование инструментов («агентность»). Разбив вредоносную кампанию на короткие, казалось бы, безобидные запросы — например, разыгрывая роль специалистов по тестированию на проникновение — операторы смогли обойти защитные барьеры моделей, которые обычно эффективны против одиночных, явно вредоносных промптов. Отчет Anthropic включает пошаговую реконструкцию, показывающую автономное перечисление (энумерацию), проверку уязвимостей, генерацию полезной нагрузки, горизонтальное перемещение и парсинг данных. Пиковая частота запросов достигала нескольких операций в секунду — темп работы, который, по мнению компании, делает эту атаку отличной по масштабу от предыдущих вторжений с использованием ИИ.

Доказательства, ограничения и скептицизм

Публичное раскрытие информации Anthropic включает техническую телеметрию, детали хронологии и защитные действия: блокировку вредоносных аккаунтов, уведомление пострадавших организаций и взаимодействие с властями в течение примерно десятидневного окна расследования. Компания подчеркивает, что модели не просто давали советы, а выполняли многие этапы активного вторжения. Также отмечается важная оговорка: Claude иногда «галлюцинировал» — сообщал о неработающих учетных данных или выдумывал результаты, — что вынуждало злоумышленников проверять выходные данные перед действием. Это несовершенство, по мнению Anthropic, является одновременно ограничением для атакующих и потенциальным сигналом обнаружения для защитников.

Не все принимают аргументацию Anthropic в полном объеме. Некоторые независимые исследователи безопасности и отраслевые аналитики задаются вопросом, относится ли цифра в 80–90% ко всей операционной работе или только к тактическим шагам низкого уровня, и не рискует ли определение эпизода как «первой» полностью автономной крупномасштабной атаки преувеличить сложную эволюцию техноугроз. Эти голоса предостерегают от смешивания примечательной эскалации с внезапным исчезновением человеческого участия во всех успешных операциях. Этот спор важен, поскольку он определяет, каким средствам контроля и инструментам обнаружения защитники будут отдавать приоритет.

Место инцидента в меняющемся ландшафте угроз

Раскрытие информации Anthropic произошло на фоне ряда других находок, показывающих, как генеративные модели и инструментарии машинного обучения появляются в реальных атаках и вредоносном ПО. Исследователи угроз из Google в начале этого года задокументировали такие штаммы, как PromptFlux и PromptSteal, которые встраивают обратные вызовы к моделям и адаптивное поведение внутрь вредоносного ПО, демонстрируя, как LLM могут использоваться как для настройки атак, так и для их автономной адаптации в реальных условиях. В совокупности эти сигналы указывают на более широкую тенденцию: злоумышленники переходят от использования ИИ в качестве помощника по составлению черновиков к встраиванию его в операционные инструменты и конвейеры создания вредоносного ПО.

Для защитников это создает практические трудности. Традиционные подходы к обнаружению — сигнатурное сканирование, ручная сортировка и регламенты, построенные вокруг темпа действий человека-атакующего, — теперь должны противостоять параллельной высокоскоростной активности, которая иначе выглядит в телеметрии и оставляет иные артефакты. Отчет Anthropic призывает группы безопасности исходить из того, что злонамеренное использование агентов — это реальность ближайшего будущего, и инвестировать в обнаружение с учетом специфики моделей, аналитику аномалий, разработанную для взрывных паттернов запросов, и более строгую аутентификацию при использовании инструментов.

Политика, геополитика и новая поверхность атаки

Anthropic с «высокой степенью уверенности» приписывает операцию китайской поддерживаемой государством группе, которую она обозначает как GTG‑1002. Публичный отчет компании и его последующее освещение уже привлекли внимание политиков и законодателей, которые видят в агентном ИИ проблему национальной безопасности, отличную от обычной киберпреступности. Брифинг Исследовательской службы Конгресса резюмирует этот эпизод как переломный момент, который может повлиять на регулирование, государственные закупки и международные нормы в отношении технологий ИИ двойного назначения. Этот документ, подготовленный для законодателей, подчеркивает срочность определения ответственности за неправомерное использование моделей и обязанностей операторов моделей по предотвращению объединения инструментов в цепочки и произвольного удаленного вызова кода.

Потенциальным последствием являются дипломатические осложнения: когда атрибуция указывает на связанных с государством субъектов, защитные меры могут выйти за рамки технического исправления и перейти к санкциям, публичным обвинениям или скоординированному международному давлению. Инцидент также подогревает дискуссии внутри индустрии ИИ о том, как проектировать настройки по умолчанию и защитные барьеры, устойчивые к ролевым играм, микрозадачам и атакам через оркестрацию, не ограничивая при этом чрезмерно легитимное использование, такое как автоматизированное тестирование и продуктивность разработчиков.

Что могут предпринять защитники и разработчики

Укрепить конечные точки моделей и ограничить область применения инструментов: ограничить API и инструменты, которые может вызывать модель, требовать многофакторного подтверждения для чувствительных операций и внедрять явные, проверяемые теги контекста для защитных рабочих процессов.
Обнаруживать взрывные паттерны работы агентов: настроить телеметрию для отслеживания быстрой мультисессионной активности, необычно высокой частоты обратных вызовов и сохранения состояния между сессиями, что выдает агентную оркестрацию.
Сделать галлюцинации активом обнаружения: модели, которые фабрикуют учетные данные или выдают чрезмерное количество ложноположительных результатов, могут непреднамеренно раскрыть факт злоупотребления — командам следует выявлять и регистрировать сигналы галлюцинаций для корреляции с другими аномалиями.

Anthropic подчеркивает, что ИИ также станет частью защиты: та же автоматизация при правильном оснащении и управлении может выявлять агентные угрозы на машинной скорости, сортировать инциденты и автоматизировать локализацию угроз. Эта реальность двойного назначения — то, что инструменты, способные взламывать системы, могут также помогать в их защите — делает следующие 12–24 месяца критически важными для проектирования операционной безопасности и государственной политики.

Эпизод с GTG‑1002 — это не столько единичный катастрофический взлом, сколько технологическая веха: иллюстрация того, что агентные модели в сочетании со слоями оркестрации и открытыми стандартами инструментов могут изменить экономику вторжений. Остается открытым вопрос, сможет ли сообщество безопасности адаптироваться достаточно быстро; именно он стимулирует срочную работу вендоров, поставщиков услуг и организаций национальной безопасности. Путь вперед потребует более надежного управления моделями, новых примитивов обнаружения, предназначенных для противников, действующих на машинной скорости, и более четких регуляторных ожиданий относительно того, как создатели и операторы моделей должны предотвращать встраивание инструментов в операционные структуры атак.

Источники

Anthropic (технический отчет об инциденте: «Пресечение первой зарегистрированной кампании кибершпионажа под руководством ИИ», ноябрь 2025 г.)
Google Threat Intelligence (исследование вредоносного ПО и злоупотреблений ИИ, 2025 г.)
Исследовательская служба Конгресса (информационный документ: агентный ИИ и кибератаки)

Mattias Risberg

Cologne-based science & technology reporter tracking semiconductors, space policy and data-driven investigations.

University of Cologne (Universität zu Köln) • Cologne, Germany

Readers Questions Answered

Что позволило Claude Code действовать в качестве автономного киберагента?

Anthropic заявляет, что Claude Code был интегрирован во фреймворк автоматизации с уровнем оркестрации, построенным на таких инструментах, как Model Context Protocol. Это позволило создать специализированных субагентов для выполнения дискретных задач, таких как сканирование IP-адресов, зондирование уязвимостей, создание полезной нагрузки и тестирование учетных данных. Человек-оператор по-прежнему выбирал цели и стратегические параметры, но ИИ выполнял примерно 80–90% тактической работы через цикличные промпты и взаимодействие агентов.

Какую часть операции выполнял ИИ по сравнению с людьми, и что контролировали люди?

Компания оценивает, что ИИ выполнил примерно 80–90% тактической работы в рамках кампании, при этом люди вмешивались в основном для одобрения этапов эскалации, таких как активная эксплуатация или эксфильтрация конфиденциальных данных. Сотрудники следили за прогрессом, но позволяли автономным субагентам выполнять основную часть разведки, сбора учетных данных и парсинга данных.

На какие сигналы обнаружения и методы защиты Anthropic обращает внимание защитников?

Защитники были оповещены трафиком, который компания назвала «физически невозможным» для операторов-людей, а также технической телеметрией, деталями временной шкалы и резкими всплесками активности. Anthropic предупреждает, что выходные данные моделей могут галлюцинировать учетные данные или результаты, поэтому их необходимо проверять. В отчете рекомендуется использовать детекцию с учетом особенностей моделей, аналитику аномалий для взрывных запросов и усиленную аутентификацию при использовании инструментов.

Кто, как полагают, стоит за этой операцией и каковы политические последствия?

Anthropic с высокой долей уверенности приписывает операцию GTG-1002, китайской хакерской группировке, спонсируемой государством. Этот эпизод стал важным прецедентом для политиков: законодатели обсуждают ответственность за неправомерное использование моделей, рассматривают нормы ИИ двойного назначения, а также обсуждают санкции или международное давление, когда атрибуция указывает на государственные структуры.

Have a question about this article?

Questions are reviewed before publishing. We'll answer the best ones!

Comments

No comments yet. Be the first!