Espías informático chinos utilizaron la IA Claude Code con el objetivo de forzar una entrada a 30 empresas y organizaciones de gobierno. Según explica Anthropic en un breve documento, los ataques fueron efectivos en una pequeña cantidad de casos.
Los ataques se realizaron en septiembre e involucraron compañía del sector financiero, tecnológico y químico. Anthropic entiende que el grupo involucrado en esta campaña ha sido financiado desde el estado. También apunta que el trabajo que ha realizado es parte de una etapa de exploración.
Automatización
Todos los objetivos fueron elegidos por los operadores humanos. Las IA se encargaron de la ejecución de algunos de los elementos de la secuencia de ataque.
La IA realizó mapas, escaneó la infraestructura de las organizaciones, encontró vulnerabilidades y desarrolló técnicas para explotarlas. Una vez que todo esto estaba listo, el usuario examinaba los resultados para luego iniciar el hackeo. La operación le llevaba menos de 10 minutos.
La automatización de los ataques podría hacerlos más eficaces y aumentar significativamente la intensidad de las campañas en un futuro cercano. Aunque en este caso los seres humanos se mantuvieron como una parte clave el proceso, Anthropic calculó que sobre ellos cayó entre el 10 y el 20% del esfuerzo.
El engaño
Claude tiene medidas de seguridad destinadas a evitar la cooperación en actividades ilegales. Sin embargo, como suele ocurrir con las IA, siempre hay un truco que demuestra que no son tan inteligentes.
Anthropic explica que las tareas que se le pidieron a Claude fueron presentadas como rutinas técnicas a través de consignas cuidadosamente elaboradas. De esta manera se indujo a la IA a producir componentes vitales para el ataque sin que el sistema entendiera el contexto malicioso.
La buena noticia
Un detalle interesante es que, según explica Anthropic, se observó que en las operaciones relacionadas con el ataque la IA a menudo sobrestimaba sus descubrimientos y hasta fabricaba datos. Apuntó haber encontrado información vital que en realidad era de acceso público y presentó credenciales de acceso que no funcionaban.
