Sztuczna inteligencja w rękach hakerów - raport Anthropic
5.00/5
(1)

Sztuczna inteligencja w rękach hakerów - raport Anthropic

Analiza raportu firmy Anthropic pokazuje, jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń. Zobacz najciekawsze przypadki opisane w raporcie i dowiedz się w jaki sposób hakerzy wykorzystują AI do automatyzacji ataków, manipulacji i omijania zabezpieczeń.

Vibe Hacking - gdy agent AI pomaga w hackowaniu

Socjotechnika w nowym wydaniu

Rynek cyberbezpieczeństwa przechodzi fascynującą trasformację. Z jednej strony obserwujemy organizacje, które świadomie budują skrupulatnie opracowane strategie ochrony. Z drugiej strony firmy i organizacje wcale nie małe, które dopiero stawiają pierwsze kroki, skupiając się na podstawowych zabezpieczeniach przed ransomware czy trojanami.
Regularnie zalewają nas nowe raporty o rosnących wskaźnikach cyberzagrożeń w Polsce i na świecie - ważne, żeby się ich nie bać a traktować je jako przewodnik w budowaniu strategii. Co ciekawe w cyberbezpieczeństwie zatoczono duże koło - chociaż ataki są teraz niezwykle zaawansowane, można stwierdzić śmiało, że hakerzy wracają też do korzeni, czyli starej, poczciwej socjotechniki, w zupełnie nowym wydaniu.
Dlatego też dziś chcę zatrzymać Cię na chwilę i skłonić do refleksji - gdzie aktualnie znajduje się Twoja organizacja na mapie cyberbezpieczeństwa? Zapraszam do analizy raportu firmy Anhropic z którego dowiesz się, jak hakerzy wykorzystują AI do cyberataków.

Jak hakerzy wykorzystują AI w cyberatakach? Raport firmy Anthriopic 

W sierpniu 2025 roku firma Anthropic, twórca zaawansowanego modelu Claude, opublikowała raport, który odsłania niespotykaną dotąd skalę wykorzystania ich własnego modelu LLM przez cyberprzestępców. Zespół badawczy Anthropic zidentyfikował operacją oznaczoną jako GTG-2002, która wprowadza zupełnie nowe pojęcie do słownika cyberbezpieczeństwa: vibe hacking. Co kryje za sobą ta przyjemnie brzmiąca nazwa?
Atakujący wykorzystał narzędzie Claude Code jako aktywnego operatora, który nie tylko doradza, ale wykonuje złośliwe działania. W ciągu zaledwie miesiąca zaatakowano co najmniej 17 organizacji - od instytucji rządowych, przez szpitale po służby ratunkowe. 

Jak działa vibe hacking?

Przestępca stworzył plik konfiguracyjny CLAUDE.md, w którym umieścił swoje preferowane metody operacyjne. Co szczególnie niepokojące, AI samodzielnie podejmowało decyzje taktyczne i strategiczne - określało jak najlepiej penetorwac sieci, jakie dane wykradać i jak konstruować psychologicznie dopasowane żądania okupu. 
Skala operacji jest zatrważająca - Claude Code wspomagał atakującego na każdym etapie:
  • Rekonesans: skanowanie tysięcy punktów dostępowych VPN, identyfikacja podatności 
  • Włamania: wsparcie w czasie rzeczywistym podczas penetracji sieci, skanowania domen i wydobywania loginów
  • Tworzenie malware: generowanie zaciemnionego kodu narzędzia Chisel, by uniknąć wykrycia przez Windows Defender
  • Kradzież danych: systematyczna ekstrakcja numerów ubezpieczeń społecznych, informacji bankowych, danych pacjentów i dokumentacji ITAR (rozporządzenie regulujące import i eksport artykułów i usług związanych z obronnością i kosmologią w USA) 
  • Wymuszenia: tworzenie spersonalizowanych not okupowych z dokładanymi kwotami finansowymi i zagrożeniami dostosowanymi do specyfiki branży.
Żądania okupu wahały się od 75 000 do 500 000 dolarów w Bitcoinach, a Claude Code generował wielopoziomowe strategie wymuszenia - od bezpośredniego szantażu organizacji, przez sprzedaż danych przestępcom, po indywidualne wymuszenia na osobach, których dane skradziono. 
No dobrze, ale zapytasz, gdzie w tym przypadku powrót do socjotechniki? Przejdźmy do dalszej części raportu.

Pracownicy zdalni z Korei Północnej

Kolejnym przypadkiem opisanym w raporcie jest sprawa północnokoreańskich agentów, którzy wykorzystują Claude do uzyskania i utrzymywanie fałszywych miejsc pracy w amerykańskich firmach i startupach technologicznych. To nie są wykwalifikowani specjaliści - to osoby, które nie potrafią samodzielnie napisać kodu, swobodnie komunikować się po angielsku czy rozwiązywać problemy jakie zleca im przełożony. Jak wygląda cykl operacyjny oszustów z Korei Północnej? 
Atakujący przechodzą przez cztery fazy, z AI wspierającym ich na każdym kroku:
  • Faza 1: Tworzenie fałszywych tożsamości - Claude generuje przekonujące życiorysy zawodowe, portfele projektów i spójne narracje kariery. 
  • Faza 2: Aplikacje i rozmowy kwalifikacyjne - AI pomaga dostosować CV, tworzyć przekonujące listy motywacyjne i co najważniejsze - udzielać odpowiedzi w czase rzeczywistym podczas testów kodowania. 
  • Faza 3: Utrzymanie zatrudnienia - Koreańczycy polegają na AI w wykonywaniu rzeczywistej pracy technicznej, uczestniczeniu w komunikacji zespołowej i odpowiadaniu na code review. 
  • Faza 4: Generowanie przychodów - według szacunków FBI, te operacje generują setki milionów dolarów rocznie dla programu broni jądrowej w Korei Północnej.

Ransomware bez programowania

Pomysłowością pochwalił się także brytyjski cyberprzestępca oznaczony jako GTG-5004 stworzył pełnoprawną usługę Ransomware-as-a-Service, mimo że nie potrafi samodzielnie implementować algorytmów szyfrowania czy technik anty-EDR. Claude Code stało się jego narzędziem deweloperskim. Brytyjczyk działał co najmniej od stycznia 2025 r. na forach dark web, m.in Dread, CryptBB i Nulled. Próbki malware pojawiły się w VirusTotal zaledwie 2 godziny po wygenerowaniu kodu przez Claude, co sugeruje aktywne i szybkie wdrożenie. 

Cennik Ransomware-as-a-Service

  • Ransomware DLL i wykonywalne pliki za 400$
  • Pełny zestaw RaaS z konsolą PHP i narzędziami C&C (Command and Control) za 800$
  • FUD Crypter dla natywnych plików Windows 10/11 za 1200$
Raport opisuje także działania chińskiego hakera, który przez 9 miesięcy wykorzystywał Claude do ataków na wietnamską infrastrukturę krytyczną. AI wspierało operacje obejmujące 12 z 14 taktyk MITRE ATT&CK. Model Anthropic został wykorzystany do tworzenia niestandardowych narzędzi skanowania w Phytonie, budowania zaawansowanych frameworków do przesyłania plików, optymalizacji operacji wydobywania poświadczeń (hydra, hashcat), implementacji expolitów eskalacji uprawnień dla luk w jądrze Linuxa czy analizy danych rekonesansowych i planowania ruchu pobocznego. 
W pełnej treści raportu możemy przeczytać także o historiach hiszpańskiego sklepu, który wykorzystywał Claude do utrzymania swojego serwisu internetowego, specjalizującego się w weryfikacji i odsprzedaży skradzionych kart kredytowych. AI pomagało mu w opracowaniu zaawansowanej integracji API i inteligentnym ograniczeniem żądań dla uniknięcia detekcji. 

Wnioski z raportu

Anthropic podjęło konkretne działania w odpowiedzi na opisane przypadki. Zbanowano konta związane z operacjami, opracowano dedykowane klasyfikatory dla tego typu aktywności i podzielono się wskaźnikami technicznymi z kluczowymi partnerami. Firma wdrożyła również ulepszone narzędzia do gromadzenia, przechowywania i korelowania znanych wskaźników kompromitacji zarówno z publicznych jak i prywatnych źródeł wymiany informacji z aktywnością na platformie. 
Raport to nie tylko ostrzeżenie, ale przede wszystkim nawolywanie o nowe podejście w cyberbezpieczeństwa w erze AI. W świecie, gdzie sztuczna inteligencja demokratyzuje nie tylko innowacje, ale też cyberprzestępczość, tylko wspólna, transparentna praca nad bezpieczeństwem może pomóc wyprzedzić zagrożenia. 
Marketing Specialist
Autor artykułu
Marketing Specialist
Oceń blog:
Czas czytania: 9 min
Data: 23.10.2025

Terminarz

prev

next

Lista najbliższych webinariów

03.09.2026
09:00 Warsztaty Hardening Windows – LAPS, Restricted Groups, Compliance Toolkit (1 dzień)
Warsztaty Hardening Windows – LAPS, Restricted Groups, Compliance Toolkit (1 dzień)
08.09.2026
09:00 Szkolenie Ansible z Windows i Active Directory
Szkolenie Ansible z Windows i Active Directory
10.09.2026
09:00 Szkolenie Ansible – automatyzacja infrastruktury IT bez agentów (2 dni)
Szkolenie Ansible – automatyzacja infrastruktury IT bez agentów (2 dni)
22.09.2026
09:00 Hardening Windows i Active Directory – Tiering, PAW, Jump Servers (warsztaty 1 dzień)
Hardening Windows i Active Directory – Tiering, PAW, Jump Servers (warsztaty 1 dzień)
22.09.2026
10:00 Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
newsletter
Chcesz wiedzieć więcej? Zapisz się na Newsletter i otrzymuj najnowsze informacje

Zobacz inne wpisy

Wiedza i świadomość na temat aktualnych cyberzagrożeń to podstawa dobrej taktyki bezpieczeństwa. Chcesz być na bieżąco z wydarzeniami ze świata cybersecurity? A może szukasz wskazówek jak zapewnić wyższy poziom cyberbezpieczeństwa w swojej firmie? Chcesz poznać topowe rozwiązania? Dobrze trafiłeś.

zobacz wszystkie wpisy
Moduły CrowdStrike Falcon - jak rozbudowywać ochronę firmy Endpoint Detection and Response (EDR)
PromptLock - pierwszy ransomware wykorzystujący AI do pisania kodu Endpoint Detection and Response (EDR)
Agenci AI i bezpieczeństwo tożsamości – kto naprawdę działa w systemie? Autoryzacja i Zarządzanie Tożsamością
Ochrona endpointów i XDR – ataki, które nie wyglądają jak wirusy Extended Detection and Response (XDR)
Masz 29 minut. Jak szybko haker może przejąć firmę Endpoint Detection and Response (EDR)
Forcepoint DSPM (Data Security Posture Management)

Forcepoint DSPM (Data Security Posture Management)

Wycena indywidualna
Zobacz więcej
ESET Mobile Threat Defense

ESET Mobile Threat Defense

Ochrona Android i iOS + MDM w ESET PROTECT. Anti‑phishing, kontrola aplikacji, zdalne zarządzanie i integracja z ABM, Intune, Workspace ONE

Wycena indywidualna
Zobacz więcej
1Security: Widoczność i kontrola Microsoft365

Microsoft 365 rozwija się każdego dnia - nowe zespoły, goście i udostępnienia pojawiają się szybciej, niż da się je kontrolować. Każdy z nich to potencjalne wejście dla nieautoryzowanego dostępu. Wrażliwe dane krążą po środowisku bez nadzoru, a Copilot może zobaczyć więcej, niż powinien. Brak pełnej widoczności to dziś nie tylko ryzyko, to prowokowanie incydentu.

141.14 PLN
Zobacz więcej