Claude Code 自動完成 90% 間諜任務
美國 AI 公司 Anthropic 公布最新威脅報告,指出在 2025 年 9 月中偵測到一場高度複雜的網路間諜行動,攻擊者疑似為中國國家支持的駭客集團,成功操縱該公司開發的 Claude Code 工具,對約 30 個全球目標發動高度自動化的網路攻擊。Anthropic 在 2025 年 11 月 13 日公開部落格文章與完整技術報告,形容這是首宗由 AI 編排整體作戰流程的網路間諜行動,也是首次有外國政府被指控使用 AI 系統,幾乎完全自動化一場網路攻擊。
相關新聞 : NotebookLM 深度研究上線:支援 MS Word 與 Google Sheets,AI 研究助手再升級
攻擊解密
Anthropic 的報告揭示了一種全新的攻擊模式。駭客不再需要 24 小時親自操作,他們的角色退化成只是按下按鈕的人。
-
欺騙 AI:駭客並非破解 Claude,而是誤導它。他們說服 Claude Code,讓 AI 相信自己正在為一家合法企業執行防禦性的滲透測試。
-
AI 代理人 (AI Agent) 誕生:一旦繞過安全防護,Claude Code 就會自動執行高達 80% 至 90% 的攻擊流程。它會:
-
掃描目標網路架構。
-
尋找高價值資料庫。
-
自行撰寫客製化的漏洞利用程式。
-
在網路中橫向移動以獲取更高權限。
-
大量蒐集帳號與密碼。
-
任務結束後,AI 自行整理出詳細的作戰報告,列出它入侵了哪些系統、用了哪些帳密。
-
人類的全新角色:按鈕操作員
Anthropic 威脅情報主管形容,這幾乎是按一下按鈕就能發動的網路攻擊。人類駭客的角色,只剩下在少數關鍵節點上,回應 AI 的提問,例如是否繼續攻擊?或確認可疑結果。駭客甚至將多個 Claude 實例編組成「自動化滲透測試小隊」,讓 AI 之間自主協調,大幅降低了大規模網路間諜的門檻。
受害範圍: 攻擊鎖定科技、金融與政府機構,目前已知至少有 4 起入侵行動成功竊取了敏感資料(美國聯邦政府未被攻破)。
AI 並非完美,幻覺成為防禦的突破口
值得慶幸的是,AI 代理人並非無敵。報告指出,Claude 在行動中也曾出錯:
-
AI 幻覺: 它曾幻覺出根本不存在的登入憑證。
-
誤判情資: 它把一份公開文件誤認為是竊取到的機密資料。
這些失誤反過來成為防禦方的關鍵線索。資安團隊未來可以透過偵測AI 特有的異常行為(例如大量錯誤登入、超高頻率的請求),來辨識攻擊是來自人類還是 AI。
AI 資安風險正快速升級
過去幾年間,美方與多家資安公司也多次揭露中國相關駭客組織,像是 Volt Typhoon 等進行長期滲透行動,被指試圖在未來台海危機時破壞美國與亞洲之間的關鍵通訊基礎設施,凸顯國家級網路攻擊與地緣政治風險早已緊密相連。在這樣的背景下,Anthropic 警告,這次 Claude Code 事件很可能只是開端,未來更多國家級駭客與犯罪集團將善用 AI 來擴大攻擊規模與速度。
如果喜歡這篇文章,並想持續收到更多限時免費、科技新聞、 Apple 資訊,以及 AI 、 WordPress 教學與資源分享,歡迎透過以下方式支持我,讓我更有動力創作:
👍 按讚與追蹤:鎖定我的 Facebook專頁、Instagram、Threads 和 X,就不會錯過最新內容。
☕ 請我喝杯咖啡:如果內容對你有幫助,歡迎到 Ko-fi 小額支持,為我注入創作能量。
你的一個 Like、追蹤或是一杯咖啡的鼓勵,都能激勵我持續分享更多實用文章。由衷感謝大家。😉