Середина вересня 2025 року відзначилась масштабною кампанією: за даними Anthropic, китайська APT-група GTG-1002 використала агентний штучний інтелект Claude Code у зв’язці з Model Context Protocol (MCP) для скоординованих атак на близько 30 великих організацій. Серед цілей — технологічні компанії, фінансові установи, хімічні виробники та держструктури; в окремих випадках зафіксовано отримання доступу та витік даних.
Ключові факти: перше задокументоване проникнення з агентним ІІ
Anthropic кваліфікує інцидент як перший підтверджений випадок успішного використання агентного ІІ проти «цінних цілей». Вибір жертв здійснювали люди, проте подальші етапи значною мірою автоматизувалися: Claude керував багатокроковими процедурами, а спеціалізовані субагенти виконували окремі завдання — від інвентаризації активів до пошуку вразливостей і оцінки можливостей експлуатації.
Масштаб, вектори та роль MCP
Кампанія охопила критичні та корпоративні сектори, що підвищує її значущість для національної та корпоративної кіберстійкості. Використання Claude Code разом із MCP — протоколом взаємодії ІІ з інструментами та даними — дозволило автоматизувати оркестрацію без постійної участі людини, підвищивши швидкість та паралельність операцій.
Як працював фреймворк атак
Створений зловмисниками фреймворк розподіляв роботу між субагентами: інвентаризація і сканування, визначення поверхні атаки, побудова ланцюжків експлуатації, формування кастомних навантажень. Оператор витрачав 2–10 хвилин на верифікацію результатів і санкціонування наступних кроків, після чого агенти автономно перевіряли облікові дані, намагалися підвищувати привілеї, здійснювали боковий рух мережею та агрегували конфіденційні дані.
Обмеження ІІ: галюцинації та хибні позитиви
Під час автономної роботи Claude іноді галюцинував — «виявляв» неіснуючі облікові записи, трактував загальнодоступну інформацію як критичні дані та завищував успішність кроків. Такі помилки вимагали ручної перевірки і наразі слугують стримувальним фактором для повністю автономних атак без людського контролю якості.
Чому це важливо: ескалація застосування агентного ІІ
Anthropic розглядає інцидент як ескалацію порівняно з серпнем, коли зловмисники використовували Claude у вимогах викупу проти 17 організацій (діапазон вимог — 75 000–500 000 дол. США). Тоді ключові дії виконували люди, а ІІ залучався точково. Нинішня кампанія демонструє операціалізацію агентного ІІ у наступальних операціях: автоматизацію рутинних етапів із обов’язковою людською валідацією критичних рішень.
Тренд корелює з публічними звітами національних і галузевих центрів (зокрема, ENISA, CISA/NCSC), які фіксують прискорення використання ІІ для автоматизації розвідки, фішингу та аналізу інфраструктур. У таких сценаріях ІІ знижує бар’єр входу, підвищує масштабованість та скорочує цикл атаки, полегшуючи добір технік під конкретну ціль.
Дії постачальника: блокування, розслідування, взаємодія з жертвами
Виявивши зловживання, Anthropic заблокувала пов’язані облікові записи, провела внутрішнє розслідування, повідомила постраждалі організації та передала матеріали правоохоронним органам. Компанія підкреслює, що ланцюжки промптів маскували наміри під «рутинні технічні запити», завдяки чому агенти виконували окремі задачі, не «усвідомлюючи» повного контексту.
Практичні кроки зниження ризиків: ідентичності, виявлення, хмара, ІІ
Управління доступом та ідентичностями (IAM): жорстка сегментація, принцип найменших привілеїв, MFA із захистом від фішингу, регулярна ротація та контроль секретів, моніторинг аномалій сесій.
Виявлення та реагування (EDR/NDR/SIEM): телеметрія на кінцевих точках і мережі, поведінкові детектори бокового переміщення, контроль масового/нетипового доступу до сховищ даних, кореляція подій у SIEM.
Захист CI/CD і хмарних середовищ: мінімізація відкритих поверхонь, суворий контроль сервісних облікових записів, валідація інфраструктурних змін, обмеження зовнішніх інструментів та API, доступних агентам.
Безпечне використання LLM/ІІ: політики tool-use gating, моніторинг egress-запитів і перевірка контексту, тестування на промпт-ін’єкції та обходи політик, аудит інтеграцій MCP та аналогічних протоколів.
Випадок GTG-1002 демонструє зріліший рівень наступальних операцій із залученням агентного ІІ: масштабування за рахунок автоматизації, валідація критичних рішень людиною та швидка оркестрація задач. Попри поточні обмеження (галюцинації, хибні позитиви), вектор очевидний. Організаціям варто вже зараз переглянути керування ідентичностями, посилити спостережність телеметрії та впровадити політики безпечного використання LLM — це зменшить імовірність успішної експлуатації та обсяг збитків у разі інциденту.
