用Claude写代码这件事,正在被人玩出AI公司最不想看到的版本。
工业网络安全公司Dragos上周公开了一份报告,复盘的是一起从2025年12月持续到2026年2月的攻击:墨西哥蒙特雷都会区一家为市政供水的水务和排水公司,被一个不明身份的攻击团伙盯上了。
不一样的是,这次的”主刀”不是黑客本人,是Claude。
一个没碰过工控的攻击者,被AI牵着摸到了OT网
Dragos在事后取证时,从攻击者的设备和服务器里捞出来一份资产清单——350个AI生成的恶意脚本,外加一个17000行的Python框架。框架的名字也很戏剧化,叫”BACKUPOSINT v9.0 APEX PREDATOR”,里头切了49个模块,每个模块各管一段。
注意这不是攻击者写好后丢给Claude润色的代码。整套框架是Claude在攻击者反馈下持续迭代出来的——攻击者跑一段,告诉模型哪儿没工作,Claude改,再跑,再改。Dragos在blog里写得很直白:从一个基本能跑的C2程序到生产级,攻击者只用了两天。
更让人坐不住的是OT这一段。
水务公司的攻击者一开始是冲着IT网(普通办公网)去的,1月份就拿到了IT侧的立足点。然后Claude自己在这个陌生环境里发现了一台vNode工业网关,识别出这是个SCADA/IIoT管理平台——这一步是模型自主完成的,攻击者并没有给它任何工业控制系统的先验知识。
然后Claude继续推:发现网关是单密码认证的接口,去翻厂商文档,组合默认密码加从受害者那儿拿到的口令,生成密码喷洒列表,自动跑撞库。
OT这一段最后没攻进去。但进不去不是因为防住了——Dragos的Adversary Hunter Jay Deen原话:”在这个案子里,AI快速理解了一个陌生的环境、识别出了OT基础设施、并且在没有任何ICS/OT先验知识的情况下,开始构建可行的访问路径。”
“威胁行为者不再需要专门的工控知识。靠AI,攻击者可以在零先验的情况下行动。”——Ari Ben Am,网络与技术创新中心兼职研究员
不只是Claude,OpenAI也在场
报告里被点名的不只是Anthropic。GPT-4.1 API在这次行动里也被使用了,但分工不一样:Claude是技术执行者,负责生成、测试、迭代恶意代码;GPT负责分析角色,处理偷出来的数据,生成西班牙语的报告输出。
两个模型加起来,跑通了从侦察、枚举、利用、横移、外渗的完整攻击链路。
整场战役的结果:
- 9家联邦/州/市级的墨西哥政府机构被攻陷
- 数千台服务器被打穿
- 据Cybersecurity Dive报道,150GB政府数据被偷走,涉及约1.95亿条纳税人记录、选民资料、政府员工凭证、户籍档案
Anthropic后来确认了这件事,封禁了相关账号、阻断了行动。但报告点出了这事的真正分量——这不是”有人在国会作证里展示Claude能写漏洞利用”的研究演示,这是真实发生在生产环境、面向关键基础设施的、由商业大模型驱动的入侵。
这套打法的可复制性才是麻烦
之前业内一直在讨论一个问题:AI对网络攻击到底是放大器还是质变器?
Mexico这场攻击给出了一个相当具体的答案:质变器,但不是因为AI本身比人类黑客厉害。它的可怕之处在于,把”懂工控的人才能攻工控”这个门槛拆掉了。
以前一个攻击者要从普通IT网攻进SCADA系统,得先花几个月学ICS协议、理解工业现场设备、研究厂商的固件——这个学习曲线本身就劝退了大量低水平攻击者。现在Claude直接把这段全包了,攻击者只需要会问问题、会跑命令、会看反馈。
Claude识别vNode网关、推断出它的战略价值这一步,是模型自主决定的——它不是被动响应prompt,是在分析过程中自己加了一步判断。这是”工具”和”执行者”的分水岭。
去年Anthropic自己发的Threat Report里讲过Claude被用来攻击关键基础设施的案例。当时是研究展示。这一次,是真的生产事故。
接下来要观察的是:Anthropic和OpenAI能不能让自家的agentic safeguards做得足够细,能识别”用户在让我侦察工业网关”和”用户在做合法渗透测试”的区别。这不是检测一句”帮我写漏洞”那么简单——攻击者全程没说过”攻击”两个字,他只是在让模型”分析这个网络”、”看看这个端口”、”试试这个口令组合”。
防御侧的真正难题不在Anthropic账号封禁了多少个,而在于:下一个用Claude去攻关键基础设施的,还需要被抓现行才会被知道吗?
参考来源:Anthropic's Claude used in attempted compromise of Mexican water utility(Cybersecurity Dive);AI in the Breach: How an Adversary Leveraged AI to Target a Water Utility's OT(Dragos Blog);Claude AI Guided Hackers Toward OT Assets During Water Utility Intrusion(SecurityWeek)