Hackers chineses automatizam ataques cibernéticos com código Claude alimentado por IA – Against Invaders

Hackers chineses automatizam ataques cibernéticos com código Claude alimentado por IA - Against Invaders

Pela primeira vez na história, agentes cibernéticos mal-intencionados usaram o Claude Code da Anthropic, um assistente de codificação de IA generativa, para realizar ataques cibernéticos.

Os invasores são provavelmente hackers patrocinados pelo Estado chinês e implantaram as campanhas para fins de espionagem cibernética, disse a Anthropic em um relatório publicado em 13 de novembro.

As organizações-alvo incluíam grandes empresas de tecnologia, instituições financeiras, empresas de fabricação de produtos químicos e agências governamentais.

Essas vítimas dos ataques cibernéticos viram seus sistemas infiltrados com uma pequena intervenção humana.

A Anthropic avaliou que o assistente de IA, Claude Code, executou até 80-90% das tarefas, com apenas quatro a seis pontos críticos de decisão por campanha de hackers feitos pelos próprios hackers.

Recursos sofisticados de agentes de IA de nova geração explorados

Em meados de setembro de 2025, a Anthropic detectou os primeiros sinais de uma campanha de espionagem altamente sofisticada.

Ao investigar o caso, os pesquisadores de segurança perceberam que os invasores manipularam Claude Code para tentar se infiltrar em cerca de trinta organizações. Os agentes de ameaças tiveram sucesso em um pequeno número de casos.

A Anthropic descreveu a campanha como “o primeiro caso documentado de um ataque cibernético em larga escala executado sem intervenção humana substancial”.

Os invasores usaram os recursos agenciais do Claude Code em um grau “sem precedentes”, em parte porque alguns dos recursos surgiram recentemente:

  • A capacidade das ferramentas baseadas em GenAI de seguir instruções complexas e entender o contexto de maneiras que possibilitam tarefas muito sofisticadas
  • Seu acesso a uma infinidade de ferramentas e aplicativos de software e capacidade de agir em nome dos usuários (por exemplo, para pesquisar na web, recuperar dados, analisar e-mails)
  • Sua capacidade de tomar decisões automatizadas (ou semi-autônomas) ao executar tarefas e até mesmo encadear tarefas

Um fluxo de ataque de seis fases

A Anthropic descreveu uma cadeia de ataque de seis etapas, da seguinte forma:

  1. Inicialização da campanha e seleção de alvos: o operador humano escolheu suas organizações-alvo e desenvolveu uma estrutura de ataque, um sistema construído para comprometer de forma autônoma um alvo escolhido com pouco envolvimento humano. Essa estrutura de ataque começou com Quebra de Jailbreak Claude – enganando-o para contornar suas proteções – dividindo o ataque em tarefas pequenas e aparentemente inocentes que o assistente de IA executaria sem receber o contexto completo de seu propósito malicioso. Eles também disseram a Claude que era um funcionário de uma empresa legítima de segurança cibernética sendo usada em testes defensivos
  2. Reconhecimento e mapeamento da superfície de ataque: o operador humano pediu a Claude para inspecionar os sistemas e a infraestrutura da organização-alvo, identificar os bancos de dados de maior valor e relatar
  3. Descoberta e validação de vulnerabilidades: o operador humano encarregou Claude de detectar e testar vulnerabilidades de segurança nos sistemas das organizações-alvo, pesquisando e escrevendo seu próprio código de exploração para implantar backdoors
  4. Coleta de credenciais e movimento lateral: o operador humano usou o agente de IA para coletar credenciais (nomes de usuário e senhas) que permitiram acesso adicional
  5. Coleta de dados e extração de inteligência: o operador humano encarregou Claude de extrair uma grande quantidade de dados privados que havia identificado anteriormente como informações valiosas
  6. Documentação e entrega: o operador humano pediu a Claude que produzisse uma documentação abrangente do ataque, criando arquivos das credenciais roubadas e dos sistemas analisados

Depois de detectar os ataques e mapear o ciclo de vida do ataque, a Anthropic baniu contas maliciosas, notificou as entidades afetadas e contatou as autoridades competentes para fornecer inteligência acionável em dez dias.

A empresa GenAI também expandiu seus recursos de detecção e desenvolveu melhores classificadores para sinalizar atividades maliciosas.

“Estamos trabalhando continuamente em novos métodos de investigação e detecção de ataques distribuídos em larga escala como este”, observou o relatório da Anthropic.

Apesar dessas medidas, a Anthropic compartilhou preocupações de que a agencia Ataques cibernéticos alimentados por IA continuará a crescer em volume e sofisticação.

“Isso levanta uma questão importante: se os modelos de IA podem ser mal utilizados para ataques cibernéticos nessa escala, por que continuar a desenvolvê-los e liberá-los? A resposta é que as próprias habilidades que permitir que o Claude seja usado nesses ataques também o torna crucial para a defesa cibernética”, escreveram os pesquisadores da Anthropic.

“Quando ataques cibernéticos sofisticados inevitavelmente ocorrem, nosso objetivo é que Claude […] para ajudar os profissionais de segurança cibernética a detectar, interromper e se preparar para futuras versões do ataque”.

Falta de elementos acionáveis para pesquisadores de ameaças

O relatório foi amplamente compartilhado nas mídias sociais e nos círculos de segurança cibernética online.

Enquanto alguns elogiaram a Anthropic por sua transparência e outros destacaram que este caso foi a primeira prova de uma ameaça que eles sabiam que era inevitável com o surgimento da IA agêntica, nem todos estão felizes com o relatório.

No LinkedIn, Thomas Roccia, pesquisador sênior de ameaças da Microsoft, apontou para a falta de informações acionáveis compartilhadas na declaração pública da Antropic e no relatório completo.

Ele dito O relatório “nos deixa com quase nada prático para usar”.

“Sem avisos contraditórios reais, sem indicadores de comprometimento (IOCs), sem sinais claros para detectar atividades semelhantes. Para mim, parece um pouco com os velhos tempos, quando a indústria de antivírus (AV) evitava compartilhar IOCs. Razões diferentes hoje (eu acho), mas o resultado é o mesmo. Uma história de alto nível sem o material que os defensores precisam agir!”

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.