V septembri 2025 čínska skupina napojená na štát infiltrovala desiatky organizácií po celom svete s pomocou AI nástroja Claude Code od Anthropicu. Ľudskí operátori zasahovali len štyri až šesťkrát za celú kampaň. Zvyšných 80 až 90 percent operačnej práce vykonala umelá inteligencia.
Anthropic aktivitu odhalil v polovici septembra a za desať dní identifikoval kompromitované účty, zablokoval ich a upozornil postihnuté subjekty. Spoločnosť celý prípad zdokumentovala vo vlastnej správe, ktorú zverejnila na svojom webe, informoval server TECHBYTE.sk.
Jailbreak cez falošnú firmu
Útočníci neútočili priamo. Postavili automatizovaný rámec, v ktorom Claude Code plnil úlohu autonómneho vykonávateľa. Aby obišli bezpečnostné zábrany modelu, predstierali, že sú zamestnanci legitímnej kybernetickej firmy zaoberajúcej sa testovaním obranných riešení. Úlohy rozdeľovali na malé, zdanlivo nevinné kroky, takže AI nikdy nedostala celý kontext, ktorý by odhalil skutočný zámer.
Útok prebiehal vo viacerých fázach. Claude najprv preskúmal infraštruktúru cieľovej organizácie a identifikoval najhodnotnejšie databázy, potom vyhľadával zraniteľnosti, písal exploit kód, zberal prihlasovacie údaje a exfiltroval dáta. Na záver vytváral dokumentáciu o kompromitovaných systémoch pre ďalšie operácie. Všetko s minimálnym ľudským dohľadom.
V intenzívnej fáze generovala AI tisíce požiadaviek, často niekoľko za sekundu. Ľudský tím hackerov by sa tejto rýchlosti nedokázal vyrovnať. Obeťami boli technologické spoločnosti, finančné inštitúcie, firmy z chemického priemyslu a vládne agentúry. Z približne tridsiatich cieľov sa útok úspešne prebil len do malého počtu z nich.
Prvý prípad tohto druhu
Dovtedy zaznamenané prípady zneužitia AI pri kybernetických útokoch mali jedno spoločné: človek bol vždy aktívnym článkom. Riešil dôležité rozhodnutia, smeroval operácie, interpretoval výsledky. Tento prípad je podľa Anthropicu odlišný, ide o prvý zdokumentovaný prípad veľkej kybernetickej operácie, ktorá prebehla bez zásahu živej osoby.
Kľúčovým faktorom nebola len inteligencia modelu, ale trojica schopností, ktoré sa v poslednom roku výrazne rozvinuli: schopnosť sledovať komplexné inštrukcie, autonómia umožňujúca vykonávanie dlhých sekvencií úloh a prístup k nástrojom ako skenery sietí, crackovače hesiel či webové vyhľadávanie. Práve kombinácia týchto troch prvkov posunula útok za hranicu toho, čo bolo doteraz zdokumentované.
Halucinujúci útočník
Incident zároveň ukázal slabé miesta modelu. Claude si občas vymýšľal prihlasovacie údaje alebo tvrdil, že extrahoval tajné informácie, ktoré boli v skutočnosti verejne dostupné. Tieto halucinácie zatiaľ brzdia plne autonómne kybernetické útoky. Odborníci sa však podľa portálu Techbyte.sk zhodujú, že ide len o dočasný faktor, na ktorý sa neoplatí spoliehať.
Paradoxom je, že pri analýze tejto kampane využíval Anthropic Claude na spracovanie dát, ktorých nebolo málo. Rovnaký nástroj, ktorý útočníci zneužili, pomáhal odhaliť rozsah škôd. Spoločnosť preto odporúča bezpečnostným tímom aktívne experimentovať s AI pri automatizácii Security Operations Center, detekcii hrozieb a reakcii na incidenty.
Anthropic zároveň upozorňuje, že bariéry vstupu do sofistikovanej kybernetickej kriminality sa výrazne znížili. Skupiny s obmedzenými zdrojmi sú dnes schopné vykonávať útoky, ktoré boli donedávna výsadou elitných hackerských tímov dotovaných štátom.
PromptLock pred Claudom
Signály, že AI nie je vždy len pomocník, sa objavovali skôr. Vlani v auguste spoločnosť ESET objavila proof-of-concept ransomvér nazvaný PromptLock, ktorý využíval model GPT od OpenAI na generovanie škodlivých skriptov v reálnom čase bez pevne stanoveného kódu a menil sa pri každom spustení. Ako informoval The Hacker News, hoci išlo o laboratórny experiment, bezpečnostní experti ho spočiatku zamieňali za skutočný malvér, natoľko presvedčivá bola jeho sofistikovanosť.
PromptLock bol laboratórny dôkaz konceptu. Septembrový útok cez Claude Code bol operácia v reálnom svete proti reálnym cieľom. Vzdialenosť medzi týmito dvoma bodmi trvala menej ako rok.
