Anthropic опубликовала разбор, как злоумышленники используют Claude в кибератаках. Компания взяла 832 аккаунта, заблокированных за вредоносную активность с марта 2025 года по март 2026 года, и разложила их действия по матрице MITRE ATT&CK — базе тактик и техник, которой пользуются SOC-команды, исследователи угроз и вендоры ИБ.
Anthropic констатирует, что ИИ перестал быть инструментом только для подготовки атак. Его все чаще используют внутри уже взломанной инфраструктуры — для разведки учетных записей, перемещения по сети, выгрузки данных, обхода защиты и повышения привилегий. Так модель превращается в помощника оператора, который связывает отдельные этапы атаки в рабочую цепочку.
Anthropic утверждает, что в выборке было 13 873 наблюдения вредоносной активности. Их сопоставили с 482 уникальными техниками MITRE ATT&CK. В исследование вошли 14 тактик фреймворка, от первичной разведки до воздействия на систему.
Чаще всего Claude пытались использовать для разработки вредоносных возможностей. 560 из 832 аккаунтов, то есть 67,3%, применяли модель для задач, связанных с созданием вредоносного кода. В расширенном отчете Anthropic отдельно указано, что техника Develop Capabilities встречалась у 574 аккаунтов, или примерно у 69% выборки. В эту группу попали запросы на написание и доработку скриптов, DLL-инъекции, обходы отпечатков браузера, автоматизацию управления аккаунтами и другие заготовки для атак.
Второй крупный блок — маскировка и обход обнаружения. 64,7% акторов использовали ИИ для обфускации файлов или информации. 55,9% — для получения данных с локальной системы. 54,9% — для действий, связанных с ослаблением защиты. Речь про кодирование payload-ов, антидетект-обвязки, попытки обойти сигнатурные средства защиты и вмешательство в работу endpoint security.
Самая тревожная часть отчета — сдвиг к действиям после компрометации. Раньше такие этапы требовали заметной квалификации: нужно понимать сеть, права, учетные записи, внутренние сервисы, логику движения внутри инфраструктуры. Теперь часть этой работы можно переложить на модель.
Anthropic фиксирует рост использования ИИ для Account Discovery — поиска валидных учетных записей внутри скомпрометированной среды. Доля таких действий выросла на 8,9 процентного пункта. Автоматизированная эксфильтрация данных прибавила 6,2 пункта. Фишинг, наоборот, просел на 8,6 пункта. Разработка возможностей тоже снизилась на 12 пунктов.
Латеральное перемещение внутри сети пока встречается реже: 54 из 832 аккаунтов, то есть 6,5% выборки. Но именно эта техника сильнее всего связана с высоким риском. У акторов, которые применяли ИИ для перемещения внутри инфраструктуры, средний риск был на 10,5 балла выше, чем у остальных. В группе самых опасных сценариев также фигурируют удаленные сервисы SSH и SMB, использование легитимных учетных записей, выгрузка учетных данных, архивирование собранных файлов и web shell.
Отдельный удар отчет наносит по привычной логике оценки угроз. Раньше по количеству техник, уровню оператора и выбранным инструментам можно было примерно понять, насколько опасен актор. С ИИ эта связь становится слабее. В выборке Anthropic наименее опытные пользователи в среднем задействовали около 16 техник ATT&CK, самые опытные — около 20. Разрыв совсем невелик.
Интерфейс тоже плохо работает как маркер риска. Злоумышленники использовали Claude.ai, Claude Code и API, но сам способ доступа к модели не показывал, насколько опасной будет активность. В расширенном отчете сказано, что 80% акторов из выборки злоупотребляли Claude Code. Агентные инструменты стали почти базовым способом доступа, а не отдельным признаком продвинутого уровня.
Низкорисковые сценарии чаще остаются на уровне подготовки: написать код, замаскировать файл, собрать заготовки. Высокорисковые уходят глубже: внутренняя разведка, работа с учетными данными, перемещение по сети, подготовка данных к выводу, принятие решений во время операции.
Для оценки Anthropic ввела собственную шкалу ARiES — AI Risk Enablement Score. Это показатель от 0 до 100, который учитывает три группы факторов: профиль угрозы, вклад модели в потенциальный вред и возможный или реальный эффект атаки. Это способ понять, насколько сильно модель усилила вредоносную активность.
По этой шкале доля акторов со средним и более высоким риском выросла с 33% в первой половине исследуемого периода до 56% во второй. Иными словами, за год вредоносное использование ИИ стало заметно ближе к реальным операциям внутри инфраструктуры.
Самый показательный кейс — операция GTG-1002, которую Anthropic описала ранее как первую раскрытую кибершпионскую кампанию с ИИ-оркестрацией. Компания утверждает, что актор использовал Claude Code на Kali Linux, подключал открытые инструменты для тестирования на проникновение через MCP-серверы и фактически превращал модель в автономную атакующую платформу.
В этой кампании ИИ не ограничивался советами. Он выполнял команды, исследовал окружение, находил внутренние панели, базы данных, сервисы логирования, извлекал SSH-ключи и токены сервисных аккаунтов, помогал двигаться внутри облачной среды и готовить данные к выводу. Человек задавал направление и принимал ключевые решения, а модель брала на себя тактическую работу.
Для MITRE ATT&CK такой кейс выглядит обманчиво: 30 техник в 13 тактиках. По количеству техник это сопоставимо со многими среднерисковыми акторами. По шкале ARiES кампания получила максимум — 100 баллов. Причина в агентной обвязке: модель не просто генерировала отдельные фрагменты, а связывала разведку, эксплуатацию, перемещение и сбор данных в последовательную операцию.
Фреймворк MITRE ATT&CK хорошо описывает действия атакующих: разведка, эксплуатация, обход защиты, доступ к учетным данным, эксфильтрация. Но автономная оркестрация цепочки атаки, решения модели в реальном времени и выполнение действий без постоянного участия человека пока не имеют отдельных идентификаторов ATT&CK.
Фреймворк создавался как база реальных тактик и техник атакующих, а не как каталог поведения ИИ-агентов. Но данные Anthropic показывают: без описания агентной обвязки защитники рискуют недооценивать опасность. Две операции могут выглядеть похожими по числу техник, но отличаться по скорости, масштабу и доле работы, которую делает модель.
Контекст подтверждают и другие игроки рынка. В Verizon DBIR 2026 отмечают, что генеративный ИИ уже усиливает 15 разных атакующих техник — от поиска слабых мест до написания вредоносного кода. Google Threat Intelligence Group в мае 2026 года описала переход от ранних экспериментов к промышленному применению генеративных моделей в атакующих цепочках. Там же упомянуты ИИ-помощь в разработке эксплойтов, полиморфный вредоносный код, автономные malware-сценарии и инфраструктура для обхода ограничений доступа к моделям.
Anthropic пишет, что уже обновляет классификаторы и проверки Claude, а также обсуждает с MITRE развитие ATT&CK под новые сценарии. Компания также связывает эти работы с Project Glasswing — инициативой по усилению безопасности критичного ПО и передаче более мощных инструментов защитникам.
