Китайские хакеры, предположительно, использовали созданный компанией Anthropic сервис для написания кода, основанный на искусственном интеллекте, для незаконного проникновения в 30 объектов по всему миру, рассказали в самой Anthropic.
- Обзор умных часов HUAWEI WATCH 5: часы юбилейные
- HUAWEI FreeArc: вероятно, самые удобные TWS-наушники
- Пять причин полюбить HONOR Pad V9
- Фитнес-браслет HUAWEI Band 10: настоящий металл
- Hollow Knight: Silksong — песнь страданий и радостей. Рецензия
- Пять причин полюбить HONOR Magic7 Pro
- Пять причин полюбить HONOR X8c
- Почему ИИ никак не сесть на безматричную диету
Обзор умных часов HUAWEI WATCH 5: часы юбилейные
HUAWEI FreeArc: вероятно, самые удобные TWS-наушники
Пять причин полюбить HONOR Pad V9
Фитнес-браслет HUAWEI Band 10: настоящий металл
Hollow Knight: Silksong — песнь страданий и радостей. Рецензия
Пять причин полюбить HONOR Magic7 Pro
Пять причин полюбить HONOR X8c
Почему ИИ никак не сесть на безматричную диету
«Целями операции были крупные технологические компании, финансовые учреждения, химические производственные предприятия и государственные учреждения», — рассказали в компании и заверили, что в большинстве случаев злоумышленникам не удалось добиться успеха. Инцидент в компании назвали «первым задокументированным случаем успешного получения ИИ-агентом доступа к подтверждённым объектам высокой ценности для сбора разведывательной информации, в том числе от крупных технологических корпораций и государственных учреждений».
Масштабную серию хакерских атак Anthropic обнаружила в середине сентября — её, по версии компании, развернули китайские киберпреступники, использовавшие сервис Claude Code не по назначению. Как именно злоумышленников удалось связать с Китаем, в Anthropic не уточнили, но заявили, что те с «высокой уверенностью» действовали по командам из Пекина. В сервисе Claude Code предусмотрены средства защиты от нецелевого использования, но хакерам удалось их преодолеть — они разбивали цели атаки на небольшие задачи, каждая из которых в своём масштабе представлялась невинной. Злоумышленники заверили ИИ, что действуют от имени сотрудника, который занимается кибербезопасностью, и код используется для тестирования защиты. В результате Claude Code тестировал уязвимости в защите IT-систем жертв и писал код для развёртывания атак, сбора имён пользователей и паролей при проникновении, а затем выступал организатором для глубокого взлома с целью кражи данных.
В результате удалось выявить учётные записи с наивысшими привилегиями и бэкдоры, а участие человека в краже данных оказалось минимальным — ИИ взял на себя от 80 % до 90 % задач. «Эффективность этих атак, вероятно, будет только расти», — предупредили в Anthropic. Компания заблокировала связанные с инцидентом учётные записи Claude Code, уведомила пострадавшие организации и сотрудничала с властями при сборе оперативной информации. Anthropic заявила, что ввела дополнительные меры, направленные на выявление и пресечение подобных злоупотреблений, но отметила, что делает ставку на свои технологии, которые должны перевесить риски и укрепить кибербезопасность, а не способствовать хакерам. В ряде случаев, добавили в компании, сервис Claude Code снабжал злоумышленников неточной информацией, завышал результаты и фальсифицировал данные.