De Chinese cyberaanval waarbij Claude werd gebruikt laat zien hoe ai‑systemen zelfstandig exploits kunnen schrijven, credentials stelen en data exfiltreren. Menselijke hackers hoeven nog slechts toe te kijken terwijl de ai-agenten de operatie uitvoeren.
De ai-aanval in september werd uitgevoerd door een vermoedelijk Chinese staatssponsorgroep die het Claude Code-model manipuleerde. Het framework infiltreerde ongeveer dertig organisaties, waaronder techbedrijven, financiële instellingen en overheidsorganisaties. ‘We denken dat dit de eerste gedocumenteerde grootschalige aanval is zonder substantiële menselijke interventie,’ zegt het onderzoeksteam van Anthropic dat de aanval ontdekte, volgde en tegenhield.
Van menselijke sturing naar autonome aanvallen
De operatie verliep grotendeels autonoom: tachtig tot negentig procent van de taken werd door ai uitgevoerd. Menselijke interventie was slechts nodig bij vier tot zes cruciale beslissingen. Het systeem voerde duizenden verzoeken uit, soms meerdere per seconde, een snelheid die voor menselijke hackers onmogelijk te evenaren is, aldus het team.
De aanval bestond uit meerdere fasen. Eerst werden doelwitten geselecteerd en werd Claude misleid door jailbreaking en social engineering: operators deden zich voor als medewerkers van legitieme cybersecurity‑firma’s. Vervolgens voerde het model een verkenning uit, schreef exploitcode, verzamelde credentials, en exfiltreerde data. In de laatste fase documenteerde Claude de aanval zelf in gestructureerde markdown‑bestanden, waardoor de infrastructuur klaarstond voor vervolgoperaties en overdracht naar andere teams.
Nieuwe dimensie van dreiging
‘Ai-agents zijn waardevol voor productiviteit, maar in verkeerde handen vergroten ze de kans op grootschalige aanvallen,’ waarschuwt de onderzoekers. De aanval illustreert hoe ai-modellen een volledig hackersteam kunnen vervangen.
Hoewel Claude soms fouten maakte, zoals het hallucineren van credentials, blijft de effectiviteit van agentic ai zorgwekkend. De drempel voor geavanceerde aanvallen is aanzienlijk verlaagd, waardoor ook minder ervaren groepen grootschalige operaties kunnen uitvoeren.
Implicaties voor verdediging
De onderzoekers benadrukken dat dezelfde ai-capaciteiten ook cruciaal zijn voor cybersecurity. Claude werd ingezet om enorme hoeveelheden data te analyseren en de aanval te ontmantelen. ‘Ons doel is dat ai professionals helpt toekomstige versies van deze aanvallen te detecteren en te verstoren,’ aldus de onderzoekers.
Zij concluderen dat cybersecurity een fundamentele transformatie ondergaat: investeren in safeguards, threat sharing en detectiemethoden is noodzakelijk om misbruik van agentic ai te beperken.
Details van de aanval met ai-agent
De campagne maakte gebruik van drie recente ai-ontwikkelingen:
– Intelligence: modellen volgen complexe instructies en genereren exploitcode.
– Agency: agenten opereren autonoom in loops en beslissen met minimale input.
– Tools: toegang tot software via model context protocol,.
Claude Code voerde bijna de volledige tactische operatie zelfstandig uit: van verkenning en exploitontwikkeling tot credential harvesting, laterale beweging en data‑exfiltratie.
Het systeem hield context over meerdere dagen vast, genereerde exploit‑payloads, testte credentials en bouwde complete netwerkmappen. In de dataverzamelingsfase voerde Claude zelfstandig database‑queries uit, haalde wachtwoordhashes op, creëerde backdoor‑accounts en categoriseerde data naar inlichtingenwaarde.
De infrastructuur was grotendeels gebaseerd op opensource-penetratietools (scanners, exploit frameworks, password crackers), geïntegreerd via model context protocol servers. Het ging dus niet om nieuwe malware, maar om slimme orkestratie van bestaande middelen.
Enkele cijfers:
– Ongeveer dertig doelwitten wereldwijd.
– 80-90 procent van de aanval uitgevoerd door ai.
– Slechts vier tot zes momenten van menselijke interventie per campagne.
– Duizenden verzoeken en soms meerdere per seconde tijdens piekbelasting.
– Slechts een klein aantal succesvolle infiltraties.
– Verdediging analyseerde 410.000 assets en driehonderdduizend activiteiten.
Het volledige rapport is hier te bekijken.
