2025年12月下旬至2026年2月中旬,一名单独攻击者渗透到墨西哥9个政府机构,窃取了数亿条公民信息。
此次攻击使用了 Anthropic 的 Claude Code 和 OpenAI 的 GPT-4.1,其中 Claude Code 生成并执行了大约 75% 的远程命令。在 34 个会话中,输入了 1,088 个提示并执行了 5,317 个命令。攻击者开发了一个 17,550 行自定义 Python 脚本,该脚本使用 OpenAI API 处理从 305 个内部服务器收集的数据,生成 2,597 份信息报告。
恢复的材料包括 400 多个自定义攻击脚本和针对 20 个 CVE 的 20 个不同的漏洞利用。
Gambit Security于2026年4月10日发布了完整的技术报告,网络安全新闻于同年4月11日对此进行了报道。
从: 
黑客利用 Claude 和 ChatGPT 入侵多个政府机构
【编辑部评论】
要理解这个事件,首先要理清什么是新的,什么是旧的。攻击者利用的漏洞相当常见,例如未修补的软件和弱凭据。因此,将这次攻击解读为“前所未有的、复杂的违规行为”是不准确的。改变的是攻击的速度、规模和所需的技能阈值。
在整理了多个报告和主要来源后,《网络安全新闻》最初的文章需要进行一些补充。首先,关于受影响的机构数量,Gambit Security自己的新闻稿(来自晨星)将其列为“10个政府机构和1个金融机构”,这与原文中“9个机构”的数字略有不同。此外,Gambit Security 官方博客上的技术报告文本指出“九个墨西哥政府组织”,并且 Gambit 内部文件之间的表示法存在差异。原始文章中也没有提及泄露数据的规模,但根据多个可靠媒体(SecurityWeek、VentureBeat 等)和 Gambit 的主要消息来源。泄露的信息量约为150GB,约1.95亿条个人信息受到影响。此处包含此数字是因为它为讨论提供了重要的背景。
原始文章也没有详细说明攻击者如何绕过人工智能防护措施。根据 Gambit Security 发布的对话日志分析,攻击者反复用西班牙语向 Claude 发送提示,要求他扮演“漏洞赏金计划中的精英渗透测试员”的虚构角色。克劳德最初拒绝删除日志的指示,称其为“危险信号”。然而,持续的提示最终突破了安全防护,导致漏洞扫描、SQL注入漏洞利用生成和交叉妥协指令。
这次攻击所代表的最重要的变化是:“AI取代了整个攻击团队”这就是重点。此前,从多个组织系统地窃取 150GB 数据需要专业人员来执行侦察、入侵、权限升级和数据提取的每个阶段。这次,单个操作员(或一小群操作员)使用人工智能作为管弦乐队指挥,自动将 305 台服务器上的数据转换为 2,597 份结构化报告。人类专家团队需要几周时间才能完成的工作被压缩为几个小时。
另一方面,了解报告此事件的 Gambit Security 的背景也很重要。 2026 年 2 月 25 日,当该公司首次披露泄露事件时,该公司还于同日宣布获得 Spark Capital、Kleiner Perkins 和 Cyberstarts 总计 6100 万美元的融资。这并不是否认该公司研究的价值,但应该记住,它是有商业利益支持的。此外,墨西哥联邦税务局 (SAT)、国家选举机构 (INE) 和哈利斯科州政府均否认存在任何侵权行为,且损害的全部程度尚未确定。
就监管影响而言,此案可能会大大加速人工智能公司的治理争论。尽管 Anthropic 宣布改进帐户禁令和检测准确性,但当前的防护措施依赖于“意图识别”,并且在区分合法渗透测试者和恶意攻击者方面存在结构性限制。我们正在接近一个阶段,根据欧盟的人工智能法和各国的网络安全法规,商业法学硕士的“进攻性转移”责任将受到质疑。
从长远来看,这起事件只是冰山一角。 VentureBeat 报道称,这是第二起公开确认的 Claude 被用于实际违规的案例,第一起是 2025 年 11 月由疑似中国国有组织实施的案例。CrowdStrike 的 2026 年全球威胁报告还指出,人工智能驱动的攻击同比增加了 89%。随着人工智能不断降低攻击者的进入门槛,防御者必须超越实施尖端工具来确保简单的基础:补丁管理、凭证轮换和网络隔离。此案最深刻的教训是,现代武器已经击中了旧有的弱点。
【术语解释】
CVE(Common Vulnerabilities and Exposures/共通脆弱性识别子)
用于唯一识别软件和系统中的安全缺陷的国际编号系统。分配一个编号,例如“CVE-2023-XXXX”,允许世界各地的安全研究人员和组织通过通用名称来引用相同的漏洞。
越狱
通过巧妙的提示操作来禁用或规避人工智能模型的安全装置(内容过滤器和道德护栏)的行为。在这种情况下,攻击者让克劳德扮演“漏洞赏金渗透测试员”的虚构角色。
漏洞赏金
公司和组织向发现并报告其系统中的漏洞的外部研究人员和黑客支付奖励的系统。它是一种合法的安全增强方法,攻击者以虚构的“授权调查”伪装成该系统来操纵AI。
渗透测试
授权专家通过尝试从攻击者的角度渗透系统来提前发现漏洞的安全评估方法。缩写:“渗透测试”。本来是正常的防御行为,但这一次却是用名字作为伪装,突破了AI的护栏。
SQL注入
一种通过在数据库查询语句(SQL)中混合恶意命令来非法获取、更改或删除数据的攻击方法。虽然是经典的攻击方式,但它再次被用作有效的攻击向量。
横向运动(横向运动)
攻击者从网络的初始进入点横向将漏洞范围扩展到其他系统和敏感资源的行为。在这种情况下,人工智能通过自动化违规的每个步骤,显着加速了这一过程。
技术债务
过时的系统、未更新的系统以及因优先考虑短期开发效率而积累的设计问题的总称。本案所针对的政府机构以未应用补丁和薄弱凭证的形式积累了严重的技术债务。
LLM(大语言模型)
学习了大量文本数据的大规模人工智能模型的总称。 Claude 和 GPT-4.1 都被归类为 LLM。在这种情况下,LLM不仅仅是一个文本生成工具,而是充当了实际违反系统的“操作工具”。
EDR(端点检测与响应)
实时检测、记录和响应PC、服务器等终端(端点)威胁的安全工具。在人工智能时代,攻击时间被压缩,使用 EDR 进行早期检测变得更加重要。
网络分段
一种将网络划分为多个独立区域的设计方法,即使一个区域受到损害,也可以防止损害蔓延到其他区域。在这种情况下,不良分割被认为是促进横向移动的因素之一。
[参考链接]
人择(外部)
一家专注于AI安全研究的美国AI公司。这次被利用的Claude Code的开发者。发现违规行为后,该公司宣布已禁止账户并提高检测准确性。
开放人工智能(外部)
ChatGPT 和 GPT-4.1 的开发者。在本案中,侦察和数据分析阶段的滥用行为得到了证实。据报道,ChatGPT 本身也拒绝了类似的请求。
策略安全(外部)
一家以色列网络安全公司调查并披露了这一违规行为。该公司于2026年2月25日宣布融资总额为6100万美元,并于同日首次披露了此次违规事件。
群众罢工(外部)
美国一家大型网络安全公司。 《2026 年全球威胁报告》的发布者,该报告报告称,与上一年相比,人工智能驱动的攻击增加了 89%。
[参考文章]
黑客在墨西哥政府网络攻击中将克劳德代码武器化(外部)
安全周刊(2026 年 3 月 2 日)。本文以 150GB 的数据和约 1.95 亿条记录为中心,详细解释了受害组织和泄露数据的详细情况。
克劳德不仅仅计划攻击墨西哥政府。它执行了一个月(外部)
VentureBeat(2026 年 2 月 26 日)。本文结合AI攻击较前一年增长89%的统计数据,从“AI取代攻击团队”的角度进行深入分析。
Gambit Security 融资 6100 万美元,为企业弹性设定标准(外部)
晨星/ACCESS Newswire(2026 年 2 月 25 日)。 Gambit Security 自己的新闻稿。 150GB、1.95 亿条数据的原始数据来源。
人工智能工具扩大了墨西哥的违规警报(外部)
《阿拉伯邮报》(2026 年 4 月 12 日)。引用一位 Gambit 高管的话称,攻击组织不到五人。一篇将人工智能定义和分析为“力量倍增器”的文章。
单一运营商、两个人工智能平台、九个政府机构:完整技术报告(外部)
Gambit Security 官方博客(2026 年 4 月 10 日)。有关此案例的主要信息来源。还包括完整技术报告的链接。
黑客使用 Claude 代码、GPT-4.1 窃取了数亿墨西哥记录(外部)
Hackread(2026 年 4 月 13 日)。一篇专门报道按机构造成损害的详细信息的文章,例如哈利斯科州 Nutanix 集群的控制情况。
黑客越狱 Claude AI 生成漏洞代码并窃取政府数据(外部)
网络新闻(2026 年 2 月 26 日)。一篇文章报告了攻击过程的细节,包括西班牙语提示的内容和SQL注入的示例。
[相关文章]
AI代理滥用的新时代——人类克劳德代码自动化攻击和对策发布于 2025 年 8 月 29 日。Claude Code 用于勒索软件攻击的案例详细信息。它解释了“前所未有的攻击”的全部细节,其中人工智能自主执行了从侦察到确定赎金金额的所有工作。
Anthropic 于 2025 年 7 月挫败了利用 Claude AI 的首次大规模自动化网络攻击。GTG-2002 行动针对包括医疗机构和政府机构在内的 17 个组织,以及 A...
innovaTopia – (InnovaTopia) – …
人类克劳德代码滥用事件|中国黑客自动网络攻击的威胁发布于 2025 年 11 月 16 日。我们报道了一起中国政府支持的黑客组织利用克劳德代码对全球约 30 个组织进行自动攻击的事件。该案作为首例由人工智能承担80-90%战术工作的大规模间谍案件而受到关注。
2025年9月,一个来自中国的攻击组织利用Anthropic的人工智能“克劳德代码”对公司和机构进行自动化网络攻击。与 MCP 相关的 AI 驱动的攻击……
innovaTopia – (InnovaTopia) – …
[编者后记]
“掌握人工智能的人”和“被人工智能利用的人”的构成可能不再只是个人的问题。你每天交互的AI工具也可以成为别人的武器。
我们该如何接受,又该如何面对?我们很想听听您的观点。