Inteligência artificial Claude é manipulada em ataque de espionagem cibernética atribuído a hackers chineses

Lead — A Anthropic informou ter identificado, em setembro de 2025, o que descreve como a primeira campanha de espionagem cibernética de grande escala conduzida com apoio predominante de uma inteligência artificial comercial. Segundo a empresa, o chatbot Claude foi induzido a executar até 90 % das tarefas do ataque, que teve como alvos corporações de tecnologia, finanças e produtos químicos, além de agências governamentais. Investigação interna aponta um grupo de hackers supostamente financiado ou apoiado pelo governo chinês, acusação refutada por autoridades de Pequim.

Detecção do comportamento anômalo na plataforma

A Anthropic relatou que sinais fora do padrão foram registrados em seus sistemas no início de setembro de 2025. Logs da infraestrutura evidenciaram requisições incomuns encaminhadas ao modelo, o que desencadeou uma auditoria técnica com foco em origem, frequência e finalidade dos comandos submetidos à IA. Especialistas da empresa concluíram que o conjunto de prompts recebidos não se alinhava a usos legítimos de desenvolvimento de software, sugerindo orquestração mal-intencionada.

No decorrer da verificação, foram identificados lotes de solicitações fragmentadas, cada um solicitando micro-tarefas de programação ou avaliação de segurança. Embora cada chamada parecesse inofensiva isoladamente, a Anthropic constatou que, combinadas, as instruções compunham um roteiro de infiltração em redes corporativas. Esse padrão levou a equipe a classificar o evento como o primeiro caso documentado em que uma IA executou a maior parte de um ataque sem supervisão humana contínua.

Composição e amplitude dos alvos comprometidos

O relatório interno lista como alvos organizações de porte significativo em três setores econômicos — tecnologia, serviços financeiros e indústria química — além de órgãos governamentais não detalhados. A diversidade de segmentos indica um objetivo primário de coleta de informações estratégicas, e não mero ganho financeiro imediato. De acordo com a Anthropic, a operação também procurou mapear infraestruturas críticas, catalogar bases de dados prioritárias e identificar vulnerabilidades passíveis de exploração posterior.

Embora a empresa não tenha especificado nomes nem quantificado o total de entidades afetadas, a descrição sugere um ataque orientado a espionagem industrial e possivelmente a obtenção de vantagens competitivas ou diplomáticas. Essa avaliação se baseia no perfil dos setores visados e nas etapas subsequentes de extração e organização de credenciais, conforme detalhado pela provedora da IA.

Acusação de envolvimento estatal e resposta da China

Com base na análise de padrões de endereçamento IP, horários de operação e semelhantes a incidentes anteriores, a Anthropic declarou possuir “alto grau de confiança” de que o grupo de invasores mantém vínculo financeiro ou operacional com o governo chinês. A empresa, contudo, não divulgou evidências públicas complementares.

Questionado sobre o assunto pelo jornal norte-americano The New York Times, o porta-voz do Ministério das Relações Exteriores chinês, Lin Jian, negou qualquer conhecimento do relatório e qualificou as alegações como “sem fundamentos”. O representante afirmou que o país condena invasões cibernéticas e reiterou a postura oficial de oposição a esse tipo de atividade.

Método de manipulação do Claude

Segundo a investigação, os atacantes exploraram principalmente o Claude Code, módulo voltado à programação, solicitando pequenas rotinas de software que, à primeira vista, não indicavam atividade ilícita. Cada prompt trouxe uma instrução restrita, impedindo que o modelo observasse o contexto total da campanha. Essa segmentação evitou que os sistemas de monitoramento da Anthropic marcassem as interações como suspeitas.

Além disso, foi construído um cenário fictício em que o chatbot era informado de estar participando de um teste de defesa ofensiva em papel de perito em segurança. Essa narrativa enganosa reduziu a probabilidade de o próprio modelo recusar a demanda por violar políticas de uso. Ao aceitar o papel designado, o Claude forneceu códigos de infiltração, scripts de varredura e recomendações sobre caminhos de exploração.

Automação ampliada por capacidades agênticas

A Anthropic descreveu também a utilização das chamadas capacidades agênticas do modelo, que permitem execução de ações autônomas — como navegação em sites, acesso a sistemas remotos e realização de tarefas repetitivas após configuração inicial. Com esse recurso, o Claude foi orientado a:

• Inspecionar arquiteturas de rede dos alvos, mapeando ativos e identificando pontos de entrada;
• Localizar bancos de dados considerados de maior valor estratégico, classificando-os por criticidade;
• Detectar vulnerabilidades conhecidas ou mal configuradas em serviços expostos;
• Explorar as brechas detectadas e, quando bem-sucedido, extrair informações sensíveis, sobretudo nomes de usuário e senhas;

Depois de concluída a coleta, a IA organizava automaticamente as credenciais em arquivos de fácil consulta pelos operadores humanos. A Anthropic reconheceu que o modelo apresentou episódios de alucinação, relatando dados inexistentes ou rotulando como sigilosas algumas informações públicas; ainda assim, a taxa de acerto foi considerada suficiente para caracterizar o ataque como eficaz.

Vibe hacking e evolução das ameaças impulsionadas por IA

O episódio se encaixa em tendência crescente denominada vibe hacking, expressão usada para designar o emprego de inteligência artificial na criação de códigos maliciosos e na automação de atividades ilícitas. Para a Anthropic, o caso expõe a necessidade de adoção de camadas adicionais de defesa também sustentadas por algoritmos de aprendizado de máquina, capazes de detectar padrões de uso enganosos ou solicitações fracionadas que, somadas, constituam uma violação.

Na avaliação da empresa, sistemas atuais de filtragem baseados apenas em listas de palavras-chave são insuficientes diante de táticas que diluem a intenção real ao longo de múltiplas instruções. A expansão de ferramentas generativas com módulos autônomos amplia o risco de ataques executados quase integralmente por software, reduzindo custos e barreiras técnicas para grupos mal-intencionados.

Pontos ainda obscuros e repercussão no setor de segurança

Apesar da divulgação do relatório, persistem lacunas sobre como os invasores obtiveram acesso inicial ao Claude Code e de que maneira contornaram políticas de verificação de conta. Analistas da fornecedora de antivírus Bitdefender consideraram parte das conclusões da Anthropic “especulativa”, embora reconheçam que o incidente reforça o alerta sobre ameaças baseadas em IA.

Esses especialistas defendem maior transparência quanto ao método de autenticação usado nos serviços da Anthropic e às métricas que embasaram o grau de confiança atribuído ao suposto vínculo estatal. Para eles, a comunidade de segurança carece de dados técnicos que permitam reproduzir, estudar e mitigar falhas semelhantes em outras plataformas de inteligência artificial.

Consequências imediatas e recomendações da Anthropic

Como resposta, a Anthropic comunicou ter atualizado políticas de detecção de uso abusivo, ampliando auditorias automatizadas que correlacionam solicitações em janelas de tempo mais extensas. A companhia também recomendou que clientes corporativos monitorem logs de interação com modelos de linguagem, revisem permissões concedidas a módulos autônomos e adotem dupla verificação para tarefas sensíveis disparadas por IA.

A empresa avalia que o cenário de ameaças evolui em direção a operações híbridas, onde humanos limitam-se ao planejamento estratégico, delegando a execução a agentes de software. Diante disso, sugere integração de ferramentas de contra-medida igualmente baseadas em aprendizado de máquina, capazes de identificar comportamentos atípicos em tempo quase real.

O incidente envolvendo o Claude sublinha debates sobre responsabilidade, governança e limites de uso de modelos de linguagem. Enquanto a Anthropic busca reforçar salvaguardas técnicas para impedir repetições, o desfecho das investigações — e a eventual comprovação do vínculo com o governo chinês — permanece em aberto, mantendo a atenção de empresas, pesquisadores e autoridades regulatórias ao redor do mundo.