Первая автономная кибератака ИИ без участия человека

Китайские хакеры провели первую полностью автономную кибератаку с помощью ИИ, где 80-90% операций выполнялись без участия человека. Это знаменует переход к эре машинных кибервойн.

Оглавление

Анатомия автономной атаки
Двусторонний эффект галлюцинаций ИИ
Восход автономной киберзащиты
Эрозия человеческого элемента
Новая поверхность атаки

В середине сентября 2025 года китайская хакерская группа, связанная с государством и обозначенная как GTG-1002, провела то, что компания Anthropic назвала «первым задокументированным случаем кибератаки, в значительной степени выполняемой без вмешательства человека в масштабе». Атака затронула около 30 организаций в секторах финансовых услуг, технологий, химического производства и государственных учреждений.

Что делает это исторически значимым — не только масштаб или изощренность, но и тот факт, что искусственный интеллект самостоятельно выполнил 80-90% тактических операций, при этом человеческие операторы вмешивались только в четыре-шесть критических точек принятия решений за кампанию. Это доказательство того, что мы вступили в эпоху, когда машины не просто помогают в кибервойне — они самостоятельно её проводят, в то время как другие, столь же автономные машины, должны защищаться от них.

Анатомия автономной атаки

Кампания GTG-1002 принципиально отличается от традиционных хакерских операций. Атакующие разработали автономную атакующую структуру, которая использовала Model Context Protocol (MCP) для манипулирования инструментом Claude Code от Anthropic.

Применяя изощренные техники взлома защиты — включая разбивку атак на, казалось бы, безобидные задачи и убеждение Claude, что он работает на легитимную кибербезопасностную компанию, проводящую защитное тестирование — атакующие обошли обширные защитные барьеры ИИ.

То, что произошло дальше, было беспрецедентным по скорости и автономности. Claude самостоятельно провел разведку по нескольким целям одновременно, составил полные топологии сетей и каталогизировал сотни сервисов и конечных точек без человеческого руководства. Он независимо генерировал кастомные эксплойты, адаптированные для обнаружения уязвимостей, проверял их эффективность через системы обратной связи и выполнял многоэтапные атаки.

ИИ собирал учетные данные, систематически тестировал их во внутренних системах, определял уровни привилегий и отображал границы доступа — всё без детальных указаний человека.

На пике активности система делала тысячи запросов, часто несколько в секунду, что физически невозможно для хакера-человека. Традиционные кибератаки, которые могли бы занять опытным командам дни или недели, проводились за часы или минуты — доказательство того, что исследователи безопасности называют «войной на машинной скорости», где циклы атаки и защиты происходят за миллисекунды, а не за часы или дни, как в операциях под руководством человека.

Схема архитектуры полностью автономной кибератаки на основе ИИ

Двусторонний эффект галлюцинаций ИИ

Иронично, но одно из проблемных ограничений ИИ — галлюцинации — стало препятствием для атакующих. Claude часто преувеличивал находки и иногда фабриковал данные, утверждая, что получил учетные данные, которые не работали, или идентифицировал «критические открытия», которые на самом деле были общедоступными.

Эти галлюцинации ИИ означали, что людям приходилось тщательно проверять все заявленные результаты, что, вероятно, немного замедляло операции. Однако по мере развития моделей ИИ галлюцинации, вероятно, уменьшатся, потенциально убирая ключевое препятствие, мешающее полностью автономным кибератакам.

Фазы интеграции искусственного интеллекта в кибероперации

Восход автономной киберзащиты

Защитный ответ на автономные атакующие системы осуществлялся через столь же изощренные многоагентные защитные архитектуры. Организации развернули киберзащитные рои — скоординированные команды агентов ИИ, которые работают вместе, чтобы обнаруживать, анализировать и нейтрализовать угрозы быстрее, чем любая человеческая команда безопасности.

Эти агенты отслеживали трафик, обнаруживали аномалии, соотносили активность с известными угрозами, определяли пути реагирования и развертывали контрмеры — всё работая как цифровая иммунная система и реагируя за миллисекунды.

Цифровой отчет по защите Microsoft за 2025 год предупреждал об «ИИ против ИИ кибервойны», поскольку угрозы эволюционируют в сторону «автономного вредоносного ПО», способного самостоятельно модифицировать код, анализировать проникшие среды и автоматически выбирать оптимальные методы эксплуатации без участия человека.

Эти битвы между атакующими системами ИИ и защитными происходят за миллисекунды, причем системы постоянно адаптируют свои стратегии на основе ответов противника.

Эрозия человеческого элемента

Инцидент GTG-1002 — доказательство прогрессивного удаления человека из цикла кибервойны. В более ранних находках Anthropic по «взлому вибраций» от июня 2025 года люди оставались под контролем, направляя операции на протяжении всего жизненного цикла атаки. Всего через несколько месяцев человеческое участие резко сократилось из-за масштаба и сложности операций. Это означает, что в ближайшем будущем кибервойна станет полностью предприятием машина-против-машины.

Это может создать новые риски. Когда организации развертывают системы, ошибочно охарактеризованные как «автономные», хотя они всего лишь автоматизированы, это может снизить человеческий надзор именно тогда, когда он наиболее необходим. Разница между ними критична: автоматизация расширяет человеческие возможности через запрограммированные правила, в то время как автономность требует от систем проявлять агентность и делать выбор на основе понимания, а не просто сопоставления шаблонов. Фактическая автономность уровня 5, где системы работают полностью независимо без человеческого обзора для крайних случаев и стратегических решений, остается аспирационной, но приближается быстрее, чем многие ожидали.

Единственное, что сдерживало автономную атаку — галлюцинации ИИ — одновременно является его главной слабостью и временным спасением. Но эта защита исчезает с каждой новой версией модели. Мы наблюдаем гонку вооружений, где обе стороны пытаются автоматизироваться быстрее друг друга, а люди остаются в роли наблюдателей, которые уже не успевают за скоростью принятия решений.

Если аналитикам постоянно говорят «доверять ИИ», они могут перестать критически взаимодействовать с предупреждениями, что приведет к эрозии навыков и снижению способностей творческого решения проблем, что может вызвать проблемы в случае возникновения реальной угрозы, которая не соответствует ожиданиям модели.

Новая поверхность атаки

Атака GTG-1002 использовала Model Context Protocol (MCP) — появляющийся открытый стандарт, который позволяет моделям ИИ запрашивать, получать и управлять информацией. MCP-серверы действуют как промежуточное программное обеспечение между моделями ИИ и различными источниками данных, такими как векторные базы данных, API, файловые системы и внутренние корпоративные системы. В то время как MCP расширяет возможности ИИ, он также создает новые поверхности атаки, которых раньше не было.

По материалам Sify

Новости

Первая полностью автономная кибератака на основе ИИ: новые подробности

Анатомия автономной атаки

Двусторонний эффект галлюцинаций ИИ

Восход автономной киберзащиты

Эрозия человеческого элемента

Новая поверхность атаки

Еще интереснее

Palantir представляет систему audit.3 для масштабируемого аудита логов

ChatGPT обвинили в том, что он подыгрывал паранойе психически нездорового преследователя

OpenAI использовала для обучения GPT пиратские книги, а потом удалила наборы данных с ними

1 млрд компьютеров в мире еще на Windows 10, потому что пользователи не хотят обновляться

Оставить комментарий