アントロピックは、GTG-1002として追跡されている中国政府支援の脅威グループが、同社のClaude Code AIモデルを悪用することで大部分が自動化されたサイバースパイ活動を実行したと報告しています。
しかし、アントロピックの主張は直ちに広範な懐疑論を引き起こし、セキュリティ研究者やAI専門家は、この報告は「捏造」であり、同社が事件を誇張していると主張しています。
「AnthropicのGenAIレポートに関するJeremy Kirk氏の評価に同意します。奇妙です。以前のレポートもそうでした」と、サイバーセキュリティ専門家のKevin Beaumont氏はMastodonに投稿しています。
「運用への影響はおそらくゼロでしょう。既存の検出機能はオープンソースツールにも有効でしょう。IoCが全く存在しないということは、彼らがそのことで非難されるのを嫌がっていることを強く示唆しています。」
一方で、このレポートは現在のAIシステムが現実的に達成できることを誇張していると主張する人もいました。
「このAnthropicの件はマーケティング上のデタラメだ。AIは確かに強力だが、スカイネットでもないし、思考もしないし、実際の人工知能でもない(そんなのはマーケティング上の言い訳に過ぎない)」と、サイバーセキュリティ研究者のDaniel Cardは投稿している。
懐疑的な見方の多くは、Anthropicがこの攻撃の背後にある侵入の痕跡(IOC)を一切提供していないことに起因している。さらに、BleepingComputerが攻撃に関する技術情報の提供を求めたが、回答は得られなかった。
攻撃の80~90%はAIによって自動化されていたと主張
批判にもかかわらず、Anthropicは今回のインシデントがAIモデルによる大規模な自律侵入活動として初めて公に記録された事例であると主張している。
Anthropicによると、2025年9月中旬に同社が阻止したこの攻撃では、同社のクロード・コード・モデルが使用され、大手テクノロジー企業、金融機関、化学メーカー、政府機関など30の組織が標的とされた。
同社は侵入に成功したのは少数だったと述べているものの、この規模の攻撃としては初めての試みであり、AIがサイバースパイ活動のワ�ークフローのほぼすべての段階を自律的に実行したとされている。
「この攻撃者は、人間の介入をほぼ排除し、大規模に実行されたサイバー攻撃の事例としては、記録上初めてであると考えられる事例を達成しました。AIが自律的に脆弱性を発見し、実際の運用中にそれらを悪用し、その後、悪用後の様々な活動を実行しました」と、Anthropicはレポートで説明しています。
「最も重要なのは、これが、大手テクノロジー企業や政府機関を含む、情報収集の対象となる価値の高い標的へのアクセスをエージェントAIが成功させた、記録上初の事例であるということです。」
Anthropicの報告によると、中国のハッカーは、Claudeを操作して、単にアドバイスを受け取ったり、ツールを使って攻撃フレームワークの断片を生成したりするのではなく、自律的なサイバー侵入エージェントとして動作させるフレームワークを構築したとのことです。以前のインシデントで見られたような攻撃フレームワークの断片を生成するだけではありません。
このシステムは、Claudeを標準的な侵入テストユーティリティとモデルコンテキストプロトコル(MCP)ベースのインフラストラクチャと連携させ、ほとんどのタスクにおいて人間の直接的な監視なしにスキャン、エクスプロイト、情報抽出を実行しました。
人間のオペレーターは、エスカレーションの承認やデータ流出の確認といった重要な場面でのみ介入しまし�たが、Anthropicの推定では、これは運用ワークロードのわずか10~20%に過ぎません。
攻撃は6つの異なるフェーズで実行され、その概要は以下のとおりです。
- フェーズ1 -- 人間のオペレーターが高価値ターゲットを選択し、ロールプレイング戦術を用いてClaudeを欺き、許可されたサイバーセキュリティタスクを実行していると信じ込ませ、組み込みの安全制限を回避しました。
- フェーズ2 -- Claudeは複数のターゲットにわたってネットワークインフラストラクチャを自律的にスキャンし、サービスを発見し、認証メカニズムを分析し、脆弱なエンドポイントを特定しました。独立した運用コンテキストを維持することで、人間の監視なしに同時攻撃を可能にしました。
- フェーズ3 -- AIはカスタマイズされたペイロードを生成し、リモートテストを実施し、脆弱性を検証しました。人間によるレビュー用に詳細なレポートを作成し、人間はアクティブなエクスプロイトへのエスカレーションを承認する場合にのみ介入しました。
- フェーズ4 -- Claudeはシステム構成から認証データを抽出し、認証情報へのアクセスをテストし、内部システムをマッピングしました。人間は最も機密性の高い侵入のみを承認し、Claudeは内部ネットワークを自律的にナビゲートしてAPI、データベース、およびサービスにアクセスしました。
- フェーズ5 -- クロードは、データベースへのクエリ、機密データの抽出、インテリジェンス価値の特定にこのアクセスを利用しました。調査結果を分類し、永続的なバックドアを作成し、要約レポートを生成しました。最終的なデータ抽出のみに人間の承認が必要でし�た。
- フェーズ6 -- キャンペーン全体を通して、クロードは発見された資産、認証情報、エクスプロイト手法、抽出されたデータなど、各ステップを構造化された形式で文書化しました。これにより、脅威アクターチーム間のシームレスな引き継ぎが可能になり、侵害された環境での長期的な持続性を維持できました。
Anthropicはさらに、このキャンペーンは特注のマルウェアではなくオープンソースツールに大きく依存しており、AIが容易に入手可能な既成ツールを活用して効果的な攻撃を実行できることを実証したと説明しています。
しかし、クロードは完璧ではありませんでした。場合によっては、望ましくない「幻覚」、捏造された結果、誇張された調査結果を生成することもありました。
この不正行為に対応して、Anthropic は違反アカウントを禁止し、検出機能を強化し、パートナーと情報を共有して AI による侵入の新たな検出方法の開発に役立てました。