中国のサイバースパイは、アンスロピック社のAIツール「クロード・コード」を用いて、約30社の有名企業や政府機関へのデジタル侵入を試み、政府支援を受けたスパイ活動は「少数のケースで成功した」と、同社が木曜日に発表した報告書で明らかにした。
9月中旬に行われたこの作戦は、大手テクノロジー企業、金融機関、化学メーカー、政府機関を標的としていた。
脅威アクターは、クロードに攻撃チェーンの各コンポーネントを実行させるよう誘導することができました。
人間が標的を選択した一方で、「これは、大手テクノロジー企業や政府機関など、情報収集の対象となる価値の高い標的へのアクセスをエージェントAIが成功さ��せた初の事例です」と、Anthropicの脅威ハンターは13ページの文書[PDF]の中で述べています。[https://assets.anthropic.com/m/ec212e6566a0d47/original/Disrupting-the-first-reported-AI-orchestrated-cyber-espionage-campaign.pdf]。
これはまた、攻撃者が攻撃活動を実行するためにAIを活用し続けていることをさらに証明しています。この事件は、多額の資金援助を受けた国家支援グループが攻撃の自動化に成功していることを示唆している。
AIベンダーは、スパイ活動の背後にいる中国政府支援グループをGTG-1002として追跡しており、その工作員はClaude Code and Model Context Protocol(MCP)を用いて、戦術実行ループに人間を介さずに攻撃を実行したと述べている。
人間が開発したフレームワークがClaudeを用いて多段階攻撃を組織化し、複数のClaudeサブエージェントがそれぞれ特定のタスクを実行することで攻撃を実行した。これらのタスクには、攻撃対象領域のマッピング、組織のインフラのスキャン、脆弱性の発見、エクスプロイト手法の調査などが含まれていた。
サブエージェントがエクスプロイトチェーンとカスタムペイロードを開発すると、人間のオペレーターが2分から10分かけてAIの行動結果をレビューし、その後のエクスプロイトを承認した。
その後、サブエージェントは認証情報の探索と検証、権限の昇格、ネットワーク内を水平移動、機密データへのアクセスと窃取といった作業に着手しました。エクスプロイト後、人間のオペレーターはAIの作業を再度確認し、最終的なデータ窃取を承認するだけで済みました。
報告書によると、「脅威アクタ�ーは、綿密に作成されたプロンプトと確立されたペルソナを通じて、これらのタスクをクロードに通常の技術的要求として提示することで、クロードが攻撃チェーンの個々のコンポーネントを実行できるように誘導し、より広範な悪意のあるコンテキストにアクセスできないようにしました」とのことです。
Anthropicは攻撃を発見後、調査を開始し、関連アカウントの停止、攻撃の全容の把握、影響を受けた組織への通知、法執行機関との連携を行いました。
これらの攻撃は、8月に発表された同社の報告書から「大幅にエスカレート」したものであり、犯罪者がClaudeを悪用したデータ恐喝作戦において、17の組織を攻撃し、盗んだデータと引き換えに7万5000ドルから50万ドルの身代金を要求したことを詳述しています。しかし、この攻撃では「人間が作戦の指揮に深く関与していた」と報告されています。
Anthropicの新たな分析では、「これらの機能は今後も進化し続けると予測していましたが、特に目立ったのは、その進化のスピードがいかに速く、大規模に行われているかということです」と述べています。
しかし、わずかな希望の光は、クロードが攻撃中に幻覚を起こし、証拠が示すよりも良い結果を主張したことです。
AIは「自律操作中に頻繁に結果を誇張し、時にはデータを捏造」したため、人間のオペレーターがすべての結果を検証する必要がありました。これらの幻覚には、クロードが資��格情報(実際には機能しませんでした)を取得したと主張したり、重要な発見を特定したものが実際には公開情報であったりすることが含まれていました。
Anthropicは、このようなエラーは少なくとも現時点では「完全に自律的なサイバー攻撃の障害」となると主張しています。