Nepoznati haker koristio je AI chatbot Claude, koji razvija američka tvrtka Anthropic, za izvođenje kibernetičkih napada na više državnih institucija u Meksiku, pri čemu je ukradeno oko 150 gigabajta službenih podataka, objavio je Bloomberg pozivajući se na nalaze sigurnosne kompanije Gambit Security
Među kompromitiranim informacijama nalaze se porezni podaci, pristupne vjerodajnice zaposlenika te drugi interni dokumenti državnih sustava, prenosi Engadget.
Prema izvješću, napadi su započeli u prosincu prošle godine i trajali približno mjesec dana. Haker je koristio chatbot da bi pronalazio sigurnosne ranjivosti u mrežama državnih institucija, izrađivao računalne skripte za njihovo iskorištavanje te tražio načine automatizacije krađe podataka.
Sigurnosni stručnjaci navode da je napadač uspio zaobići zaštitne mehanizme sustava nizom pažljivo formuliranih upita, postupkom koji se u industriji naziva jailbreak. Claude je u početku odbijao zahtjeve povezane s napadima, ali je nakon ponovljenih pokušaja počeo generirati detaljne tehničke upute.
'Sustav je proizveo tisuće detaljnih izvješća s konkretnim planovima napada, uključujući preporuke koje interne mete napasti i koje pristupne podatke koristiti', izjavio je Curtis Simpson, direktor strategije u tvrtki Gambit Security.
vezane vijesti
Anthropic je potvrdio da je proveo internu istragu, blokirao račune povezane s incidentom i zaustavio sporne aktivnosti. Iz kompanije navode da novija verzija modela, Claude Opus 4.6, uključuje dodatne mehanizme za sprječavanje zlouporabe.
Prema dostupnim informacijama, napadač je djelomično koristio i ChatGPT kako bi prikupio opće informacije o kretanju kroz računalne mreže i metodama izbjegavanja otkrivanja. OpenAI je priopćio da je prepoznao pokušaje kršenja pravila korištenja te da sustav nije odgovarao na takve zahtjeve.
Identitet hakera zasad nije poznat, a napadi nisu službeno povezani ni s jednom organiziranom skupinom. No Gambit Security smatra da postoji mogućnost povezanosti sa stranom državom, iako za to nema javno potvrđenih dokaza.
Meksička nacionalna digitalna agencija nije izravno komentirala incident, naglasivši tek da joj je kibernetička sigurnost jedan od prioriteta. Vlasti savezne države Jalisco tvrde da njihovi sustavi nisu bili pogođeni, a Nacionalni izborni institut također je negirao neovlašten pristup svojim bazama podataka.
Tijekom analize sigurnosni stručnjaci identificirali su najmanje 20 ranjivosti u državnoj digitalnoj infrastrukturi, što otvara pitanje razine zaštite javnih sustava.
Ovo nije prvi slučaj zlouporabe Claudea u kibernetičkim operacijama. Prošle godine hakerske skupine u Kini uspjele su manipulirati alatom u pokušajima napada na više globalnih meta. Istodobno je Anthropic odustao od ranijeg sigurnosnog plana prema kojem nije planirao trenirati nove AI sustave bez unaprijed zajamčenih zaštitnih mjera.
