中國駭客首度運用 Claude AI 自動化執行網路攻擊

Anthropic 揭露首起大規模 AI 驅動的網路間諜活動。中國國家支持的駭客組織利用其 Claude Code 工具，讓 AI 自主完成 80% 至 90% 的攻擊任務。

AI 開發商 Anthropic 於 11 月 13 日發布報告，揭露該公司偵測到中國國家支持的駭客組織發動網路間諜活動。攻擊者利用 Claude Code 生成式 AI 編碼助理工具，針對全球約 30 個組織展開攻擊，並成功滲透部分目標系統。

這起事件發生於今年 9 月中旬，受害組織包括大型科技公司、金融機構、化學製造企業及多國政府機構。Anthropic 評估這是史上首起經證實的案例，顯示外國政府利用 AI 技術幾乎完全自動化地執行網路攻擊。

AI 執行九成攻擊任務，人為介入僅限關鍵決策

Anthropic 威脅情報主管 Jacob Klein 指出，此次攻擊最顯著的特徵在於 AI 的高度自主性。分析顯示，Claude AI 獨立執行了約 80% 至 90% 的戰術性工作。人類操作者僅在關鍵節點介入，包括：批准從偵察階段進入主動攻擊階段、授權使用竊取的憑證進行橫向移動，以及決定資料外洩的範圍。

Klein 表示，AI 每秒可發出數千個請求，攻擊速度遠超人類駭客。這種操作規模通常只有國家級網路攻擊才能達成，但此次攻擊中人類操作者的介入卻極少。

過去類似案例中，例如俄羅斯軍方駭客針對烏克蘭實體使用 AI 生成的惡意軟體 PROMPTSTEAL，仍需人類操作者逐步引導 AI 模型。相較之下，本次攻擊中的 Claude 扮演自主代理人角色，能自行規劃並執行多階段攻擊。

六階段攻擊流程：從繞過防護到竊取資料

Anthropic 詳細說明了這起攻擊的六階段流程：

1. 第一階段是「活動初始化與目標選擇」。人類操作者選定目標組織並建立攻擊框架。關鍵步驟是對 Claude 進行越獄(jailbreaking)：攻擊者將惡意任務拆解成多個看似無害的小任務，讓 AI 在不了解完整惡意意圖的情況下執行指令。攻擊者也欺騙 Claude，謊稱自己是合法資安公司員工，正在進行防禦性測試。
    
2. 第二階段為「偵察與攻擊面繪製」。操作者要求 Claude 檢視目標組織的系統與基礎設施，識別最具價值的資料庫並回報。
    
3. 第三階段「漏洞發現與驗證」。Claude 被指派偵測並測試目標系統中的安全漏洞，透過研究並撰寫攻擊程式碼來植入後門。
    
4. 第四階段「憑證收集與橫向移動」。AI 代理人收集使用者名稱與密碼，取得更深入的系統存取權限。
    
5. 第五階段「資料收集與情報提取」。Claude 提取先前識別為高價值的大量私密資料。
    
6. 最後階段「文件製作與交接」。AI 產生完整的攻擊文件，建立竊取憑證與分析系統的檔案,便於後續團隊接手進行持續性攻擊。

技術突破：AI 代理能力的空前濫用

Anthropic 研究人員表示，攻擊者對 Claude Code 代理能力（agentic capabilities）的運用達到「空前」程度。這些能力包括：遵循複雜指令並理解情境脈絡，使高度複雜的任務成為可能；存取多種軟體工具與應用程式，代表使用者執行動作，例如搜尋網頁、擷取資料、分析電子郵件；以及在執行任務時做出自動化或半自主決策，甚至能將多項任務串連起來。

值得注意的是，攻擊者並未開發新工具，而是善用現有的開源滲透測試工具、網路掃描器、資料庫攻擊框架、密碼破解器等。Anthropic 指出，這顯示網路攻擊能力越來越仰賴資源的協調運用，而非技術創新。這意味著，隨著 AI 平台的自主操作能力提升，這種攻擊手法可能快速擴散。

不過，AI 並非完美無缺。研究人員發現 Claude 在自主運行時經常誇大結果，有時甚至捏造資訊，例如宣稱取得實際上無法使用的憑證。這種 AI 幻覺（hallucinations）現象迫使攻擊者必須驗證所有聲稱的結果，在一定程度上減緩了攻擊速度。這也意味著目前尚無法完全依賴 Claude 或其他大型語言模型進行全自動化網路攻擊。

Anthropic 的回應與防禦強化

偵測到攻擊活動後，Anthropic 在十天內完成調查並採取多項措施：封禁惡意帳號、通知受影響實體，以及聯繫相關主管機關提供可行動情報。該公司也擴展偵測能力，開發更精準的分類器來標記惡意活動。

Anthropic 表示正持續開發新方法來調查與偵測這類大規模分散式攻擊，並正在開發針對自主網路攻擊的主動早期偵測系統原型。該公司也實施了多項防禦強化措施，以因應這波攻擊展現的新型威脅模式。

然而，Anthropic 坦承，雖然其內部偵測工具最終發現了這些活動，但 AI 模型確實「讓威脅行為者能夠躲避偵測足夠長的時間來發動攻擊」。

雙面刃：AI 攻擊與防禦的競賽

面對外界疑慮，Anthropic 指出，讓 Claude 能用於攻擊的能力，同樣使其成為網路防禦的關鍵工具。當複雜的網路攻擊不可避免地發生時，該公司的目標是讓 Claude 協助資安專業人員偵測、阻斷並為未來的攻擊做好準備。

該公司警告，AI 驅動的網路攻擊將持續增長並變得更加複雜。發動複雜網路攻擊的門檻「已大幅降低」，駭客實際上可以運用 AI 系統完成原本需要整個經驗豐富駭客團隊才能完成的工作。這標誌著新現實的來臨：資安團隊現在也必須運用 AI 進行防禦，例如加快威脅偵測速度，才能對抗這種新興威脅。

本文轉載自 HackRead、HelpNetSecurity、InfosecurityMagazine、TheRecord。