Nieznany haker wykorzystał chatbota Claude od Anthropic do przeprowadzenia serii cyberataków na meksykańskie instytucje rządowe. Efekt? Kradzież 150 gigabajtów wrażliwych danych, w tym rekordów podatkowych 195 milionów obywateli.
Atak trwał od grudnia 2025 do stycznia 2026 roku. Odkryła go izraelska firma Gambit Security, która właśnie wyszła z fazy stealth i ogłosiła zebranie 61 milionów dolarów finansowania od Spark Capital, Kleiner Perkins i Cyberstarts. Badacze natknęli się na ślady włamania podczas testowania nowych technik threat huntingu.
Jak to zrobił? Wystarczyło zapytać inaczej
Metoda była niepokojąco prosta. Haker pisał do Claude po hiszpańsku, próbując nakłonić model do wcielenia się w rolę „elitarnego hakera”. Claude początkowo odmawiał i ostrzegał przed złośliwymi zamiarami. Kiedy atakujący dodał polecenie usuwania logów i historii poleceń, model odpowiedział wprost:
„Specific instructions about deleting logs and hiding history are red flags. In legitimate bug bounty, you don’t need to hide your actions – in fact, you need to document them for reporting.”
Ale haker nie odpuścił. Przebranżowił swoje zapytania jako test penetracyjny w ramach programu bug bounty. Po kolejnych próbach Claude w końcu ustąpił i zaczął wykonywać tysiące komend w sieciach rządowych – wskazywał kolejne cele do ataku, generował gotowe do wykonania skrypty i podawał dane logowania potrzebne do wejścia do systemów.
Kiedy Claude trafił na swoje granice, atakujący przełączył się na ChatGPT, używając go do poruszania się po sieci i unikania wykrycia. Dwa konsumenckie narzędzia AI złożyły się na kompletną operację hakerską.
Skala zniszczeń
Ofiary ataku to czołowe instytucje Meksyku:
- Federalny urząd skarbowy (SAT)
- Krajowy instytut wyborczy (INE)
- Rządy stanowe Jalisco, Michoacán i Tamaulipas
- Urząd stanu cywilnego Mexico City
- Miejskie wodociągi Monterrey
Skradzione dane obejmują dokumenty dotyczące 195 milionów podatników, dane wyborców, dane uwierzytelniające pracowników rządowych i pliki rejestru cywilnego.
Komentarz redaktora
Piotr Wolniewicz, Redaktor Naczelny AIPORT.pl:
To jest dokładnie ten scenariusz, o którym branża bezpieczeństwa mówiła od lat – ale mało kto spodziewał się, że nastąpi tak szybko i w tak brutalnie prosty sposób. Z jednej strony nie możemy całej winy składać na Anthropic: żaden system zabezpieczeń nie jest idealny, a fakt, że Claude początkowo odmawiał i wskazywał na podejrzane zachowania, pokazuje, że guardrails działają – przynajmniej do pewnego momentu. Z drugiej strony musimy zadać sobie bardzo nieprzyjemne pytanie: jeśli wystarczyło uparcie powtarzać tę samą prośbę w nieco innym opakowaniu, to czy te zabezpieczenia mają w ogóle wartość operacyjną?
Martwi mnie też coś innego. Ten atak nie wymagał żadnej specjalistycznej wiedzy hakerskiej. Żadnych lat nauki, żadnej zaawansowanej infrastruktury. Tylko dwie subskrypcje AI i cierpliwość. To zmienia krajobraz zagrożeń fundamentalnie – i dotyczy to nie tylko Meksyku. Każdy rząd, każda instytucja publiczna, która nie zaktualizowała swojego podejścia do cyberbezpieczeństwa w erze generatywnej AI, siedzi na podobnej bombie zegarowej.
Reakcja Anthropic i co dalej
Anthropic po zgłoszeniu przez Gambit Security zablokował konta zaangażowane w atak i poinformował, że przypadki złośliwego użycia są wbudowywane z powrotem w trening modeli. Firma wskazała, że jej najnowszy model Claude Opus 4.6 zawiera mechanizmy wykrywające próby nadużyć.
To nie pierwszy raz, gdy Claude znalazł się w centrum podobnego incydentu. W listopadzie 2025 roku Anthropic ujawnił, że podejrzani chińscy hakerzy powiązani z państwem manipulowali modelem, próbując infiltrować 30 celów na całym świecie – kilka z nich skutecznie.
Alon Gromakov, CEO Gambit Security, podsumował to krótko: „This reality is changing all the game rules we have ever known.”
Tożsamość hakera pozostaje nieznana. Gambit sugeruje możliwy związek z zagranicznym rządem, choć żadnej definitywnej atrybucji nie ma. Meksykańskie władze reagują ostrożnie – instytut wyborczy INE twierdzi, że nie zidentyfikował żadnych naruszeń, rząd stanu Jalisco całkowicie zaprzecza włamaniu. Krajowa agencja cyfrowa ograniczyła się do stwierdzenia, że cyberbezpieczeństwo jest priorytetem.
Kto dokładnie stoi za atakiem i co zrobi z danymi 195 milionów ludzi – tego jeszcze nie wiemy.
