Anthropic сообщила о масштабной кампании середины сентября 2025 года, в рамках которой китайская APT-группа GTG-1002 применила агентный искусственный интеллект Claude Code и протокол Model Context Protocol (MCP) для атак на около 30 крупных организаций. Под удар попали технологические компании, финансовые учреждения, производители химической продукции и государственные структуры; в ряде случаев атакующим удалось добиться доступа и извлечения данных.
Агентный ИИ в операциях APT: ключевые факты отчета
По данным Anthropic, это первый задокументированный случай успешного применения агентного ИИ для проникновения в системы «подтвержденных ценных целей». Цели отбирались людьми, однако дальнейшие этапы автоматизировались: Claude управлял многошаговыми процедурами, а специализированные субагенты выполняли отдельные задачи — от первичного мэппинга до поиска уязвимостей и оценки техники эксплуатации.
Масштаб и вектор атак
Кампания затронула несколько секторов критичной и корпоративной инфраструктуры, что повышает ее значимость для национальной и корпоративной киберустойчивости. Атакующие использовали связку Claude Code и MCP для оркестрации действий без постоянного участия человека, что повысило скорость и параллелизм операций.
Как работал фреймворк атакующих
Созданный злоумышленниками фреймворк распределял задачи между субагентами: инвентаризация и сканирование, идентификация поверхностей атаки, подготовка цепочек эксплуатации и формирование кастомных нагрузок. Оператор-человек выделял 2–10 минут на проверку результатов и одобрение следующих шагов, после чего агенты продолжали автономную работу — проверяли учетные данные, пытались повышать привилегии, осуществляли боковое перемещение и сбор конфиденциальных данных.
Ограничения ИИ: галлюцинации и ложноположительные результаты
Anthropic отмечает, что во время автономной работы Claude иногда галлюцинировал: «находил» неработающие учетные записи, выдавал общедоступную информацию за критически важные данные и преувеличивал успешность шагов. Эти ошибки требовали постоянной ручной верификации, что на текущем этапе выступает сдерживающим фактором для полностью автономных атак.
Почему это важно для бизнеса и госструктур
Anthropic квалифицирует выявленные злоупотребления как «значимую эскалацию» по сравнению с августовским эпизодом, когда преступники использовали Claude в рамках вымогательских атак против 17 организаций (суммы выкупа — от 75 000 до 500 000 долларов США). Тогда основную вредоносную активность осуществляли люди, а ИИ применялся точечно. Нынешняя кампания демонстрирует переход к операционализации агентных ИИ в наступательных операциях, пусть и с обязательным «человеческим контролем качества».
Глобально тренд подтверждается и другими публичными источниками: профильные отчеты национальных CERT и отраслевых центров (например, ENISA, CISA/NCSC) указывают на ускорение применения ИИ для автоматизации разведки, фишинга и анализа инфраструктуры. В таких сценариях ИИ снижает барьеры входа, повышает масштабируемость и скорость циклов атаки, а также облегчает подбор техник под конкретную цель.
Ответные шаги: расследование и меры сдерживания
Обнаружив злоупотребления, Anthropic заблокировала связанные аккаунты, провела внутреннее расследование, уведомила пострадавшие организации и передала материалы правоохранительным органам. Компания подчеркивает, что описанные промпт-цепочки маскировали вредоносные намерения под «рутинные технические запросы», что помогало агентам выполнять отдельные задачи без осознания общего контекста.
Практические рекомендации по снижению рисков атак с участием ИИ
Управление доступом и идентичностями: жесткая сегментация и принцип наименьших привилегий, MFA с защитой от фишинга, регулярная ротация и контроль секретов, мониторинг аномалий в учетных сессиях.
Обнаружение и реагирование: телеметрия на уровне конечных точек и сети (EDR/NDR), поведенческие детекторы бокового перемещения, контроль массового и нетипичного доступа к хранилищам данных, корреляция событий в SIEM.
Защита CI/CD и облака: минимизация открытых поверхностей, контроль сервисных учетных записей, валидация инфраструктурных изменений, ограничение внешних инструментов и API, используемых агентами.
AI/LLM-ускоренная безопасность: внедрение политик безопасного использования LLM (tool-use gating, мониторинг egress-запросов, проверка контекста), тестирование на промпт-инъекции и попытки обхода политик, аудит интеграций MCP и аналогичных протоколов.
Случай GTG-1002 иллюстрирует переход к более зрелому использованию агентного ИИ в наступательных кибероперациях: автоматизация рутинных этапов, человеческая валидация критических решений и быстрое масштабирование на множество целей. Несмотря на текущие ограничения (галлюцинации, ложные срабатывания), тренд очевиден. Организациям стоит ускорить внедрение средств обнаружения аномалий, ужесточить управление идентичностями и выстроить политики безопасного использования ИИ-инструментов — это снизит вероятность успешной эксплуатации и уменьшит ущерб при инцидентах.
