'Vibe Hacking': Przestępcy wykorzystują AI jako broń z pomocą Bitcoina, twierdzi Anthropic

Anthropic opublikował w środę nowy raport o zagrożeniach wywiadowczych, który czyta się jak spojrzenie w przyszłość cyberprzestępczości.

Raport dokumentuje, jak złośliwi aktorzy nie tylko proszą AI o wskazówki dotyczące kodowania, ale wykorzystują ją do przeprowadzania ataków w czasie rzeczywistym — i używają kryptowalut jako kanałów płatności.

Wyróżniającym się przypadkiem jest to, co badacze nazywają "vibe hacking." W tej kampanii cyberprzestępca wykorzystał Claude Code Anthropic — asystenta kodowania w języku naturalnym działającego w terminalu — do przeprowadzenia masowej operacji wymuszenia w co najmniej 17 organizacjach obejmujących instytucje rządowe, opieki zdrowotnej i religijne.

Zamiast wdrażać klasyczne oprogramowanie ransomware, atakujący polegał na Claude, aby zautomatyzować rozpoznanie, zbierać dane uwierzytelniające, penetrować sieci i eksfiltrować wrażliwe dane. Claude nie tylko dostarczał wskazówek; wykonywał działania "na klawiaturze", takie jak skanowanie punktów końcowych VPN, pisanie niestandardowego złośliwego oprogramowania i analizowanie skradzionych danych, aby określić, które ofiary mogą zapłacić najwięcej.

Następnie przyszło wymuszenie: Claude generował niestandardowe noty okupu HTML, dostosowane do każdej organizacji z danymi finansowymi, liczbą pracowników i groźbami regulacyjnymi. Żądania wahały się od 75 000 do 500 000 dolarów w Bitcoin. Jeden operator, wspomagany przez AI, miał siłę ognia całej załogi hakerskiej.

Kryptowaluty napędzają przestępczość wspomaganą przez AI

Podczas gdy raport obejmuje wszystko od szpiegostwa państwowego po oszustwa romantyczne, głównym wątkiem są pieniądze — a duża ich część przepływa przez kanały kryptowalutowe. Kampania wymuszeniowa "vibe hacking" żądała płatności do 500 000 dolarów w Bitcoin, z notami okupu automatycznie generowanymi przez Claude, zawierającymi adresy portfeli i groźby specyficzne dla ofiar.

Oddzielny sklep ransomware-as-a-service sprzedaje zestawy złośliwego oprogramowania zbudowane przez AI na forach dark web, gdzie kryptowaluty są domyślną walutą. A w szerszym obrazie geopolitycznym, oszustwo pracowników IT z Korei Północnej wspomagane przez AI przekierowuje miliony na programy zbrojeniowe reżimu, często prane przez kanały kryptowalutowe.

Innymi słowy: AI skaluje rodzaje ataków, które już opierają się na kryptowalutach zarówno do wypłat, jak i prania, sprawiając, że kryptowaluty są ściślej powiązane z ekonomią cyberprzestępczości niż kiedykolwiek wcześniej.

Schemat pracowników IT z Korei Północnej wspomagany przez AI

Kolejne odkrycie: Korea Północna głęboko wplotła AI w swój podręcznik omijania sankcji. Operatorzy IT reżimu zdobywają oszukańcze prace zdalne w zachodnich firmach technologicznych, fałszując kompetencje techniczne z pomocą Claude.

Według raportu, ci pracownicy są prawie całkowicie zależni od AI w codziennych zadaniach. Claude generuje CV, pisze listy motywacyjne, odpowiada na pytania podczas rozmów kwalifikacyjnych w czasie rzeczywistym, debuguje kod, a nawet komponuje profesjonalne e-maile.

Schemat jest lukratywny. FBI szacuje, że te zdalne zatrudnienia przekierowują setki milionów dolarów rocznie z powrotem do programów zbrojeniowych Korei Północnej. To, co kiedyś wymagało lat elitarnego szkolenia technicznego na uniwersytetach w Pjongjangu, teraz może być symulowane na bieżąco za pomocą AI.

Ransomware na sprzedaż: No-code, zbudowane przez AI

Jakby tego było mało, raport szczegółowo opisuje podmiot z siedzibą w Wielkiej Brytanii (śledzony jako GTG-5004) prowadzący sklep z ransomware no-code. Z pomocą Claude, operator sprzedaje zestawy ransomware-as-a-service (RaaS) na forach dark web, takich jak Dread i CryptBB.

Za jedyne 400 dolarów, aspirujący przestępcy mogą kupić pliki DLL i pliki wykonywalne zasilane przez szyfrowanie ChaCha20. Pełny zestaw z konsolą PHP, narzędziami do kontroli i dowodzenia oraz unikaniem analizy kosztuje 1200 dolarów. Pakiety te zawierają sztuczki takie jak FreshyCalls i RecycledGate, techniki normalnie wymagające zaawansowanej wiedzy o wewnętrznych mechanizmach Windows, aby ominąć systemy wykrywania punktów końcowych.

Niepokojąca część? Sprzedawca wydaje się niezdolny do napisania tego kodu bez pomocy AI. Raport Anthropic podkreśla, że AI usunęła barierę umiejętności — każdy może teraz budować i sprzedawać zaawansowane oprogramowanie ransomware.

Operacje wspierane przez państwa: Chiny i Korea Północna

Raport podkreśla również, jak aktorzy państwowi osadzają AI w swoich operacjach. Chińska grupa atakująca wietnamską infrastrukturę krytyczną wykorzystała Claude w 12 z 14 taktyk MITRE ATT&CK — wszystko od rozpoznania po eskalację uprawnień i ruch boczny. Cele obejmowały dostawców telekomunikacyjnych, bazy danych rządowe i systemy rolnicze.

Oddzielnie, Anthropic twierdzi, że automatycznie zakłócił północnokoreańską kampanię złośliwego oprogramowania związaną z niesławnym schematem "Contagious Interview". Zautomatyzowane zabezpieczenia wykryły i zablokowały konta, zanim mogły one uruchomić ataki, zmuszając grupę do porzucenia próby.

Łańcuch dostaw oszustw, wzmocniony przez AI

Poza wysokoprofilowymi wymuszeniami i szpiegostwem, raport opisuje AI cicho napędzającą oszustwa na dużą skalę. Fora przestępcze oferują usługi syntetycznej tożsamości i sklepy cardingowe napędzane przez AI zdolne do walidacji skradzionych kart kredytowych przez wiele API z failoverem klasy korporacyjnej.

Istnieje nawet bot Telegram reklamowany do oszustw romantycznych, gdzie Claude był reklamowany jako "model o wysokim EQ" do generowania emocjonalnie manipulacyjnych wiadomości. Bot obsługiwał wiele języków i obsługiwał ponad 10 000 użytkowników miesięcznie, według raportu. AI nie tylko pisze złośliwy kod — pisze listy miłosne do ofiar, które nie wiedzą, że są oszukiwane.

Dlaczego to ważne

Anthropic przedstawia te ujawnienia jako część swojej szerszej strategii przejrzystości: aby pokazać, jak jego własne modele zostały niewłaściwie wykorzystane, jednocześnie dzieląc się wskaźnikami technicznymi z partnerami, aby pomóc szerszemu ekosystemowi bronić się przed nadużyciami. Konta związane z tymi operacjami zostały zablokowane, a nowe klasyfikatory zostały wprowadzone, aby wykrywać podobne nadużycia.

Ale większym wnioskiem jest to, że AI fundamentalnie zmienia ekonomię cyberprzestępczości. Jak dosadnie stwierdza raport, "Tradycyjne założenia dotyczące relacji między wyrafinowaniem aktora a złożonością ataku nie mają już zastosowania."

Jedna osoba, z odpowiednim asystentem AI, może teraz naśladować pracę całej załogi hakerskiej. Ransomware jest dostępne jako subskrypcja SaaS. A wrogie państwa osadzają AI w kampaniach szpiegowskich.

Cyberprzestępczość była już lukratywnym biznesem. Z AI staje się przerażająco skalowalna.