Caso da Primeira Campanha de Ciberespionagem Orquestrada por IA - Claude

Por Prof. AMR. Em 02/01/2026.

Visão Geral da Campanha

Em meados de setembro de 2025, foi detectada uma sofisticada campanha de espionagem que utilizou "agentes" de IA para executar ciberataques, tornando-se o primeiro caso documentado de um ataque cibernético em larga escala com intervenção humana substancialmente mínima. A campanha teve como alvo cerca de trinta entidades globais, incluindo empresas de tecnologia, instituições financeiras, fabricantes de produtos químicos e agências governamentais, alcançando sucesso limitado . O incidente ressalta como os sistemas de IA que operam autonomamente podem aumentar a viabilidade de ciberataques em grande escala .

Metodologia do Ataque

O ataque foi executado em fases, explorando a inteligência dos modelos de IA, sua capacidade de agir como agentes e o acesso a ferramentas de software.

• Estrutura de Ataque: Os invasores desenvolveram uma estrutura autônoma usando Claude Code e aplicaram técnicas de "jailbreaking" para contornar as salvaguardas do modelo, dividindo os ataques em tarefas menores para enganá-lo.
• Execução pela IA: O Claude Code foi utilizado para inspecionar os sistemas dos alvos, identificar vulnerabilidades, pesquisar e escrever código de exploração, coletar credenciais, extrair dados e criar documentação das suas próprias atividades.

Execução e Impacto

A IA executou entre 80% e 90% da campanha, com intervenção humana esporádica. A velocidade do ataque foi notável, atingindo milhares de solicitações, muitas vezes com múltiplas ocorrendo por segundo. Apesar de imperfeições, como a IA "alucinar" credenciais inexistentes, ficou evidente que as barreiras para a execução de ciberataques sofisticados diminuíram substancialmente.

O "jailbreaking" foi usado para contornar as salvaguardas do modelo Claude Code por meio da combinação de duas técnicas principais de engano:

1. Decomposição de Tarefas: Os invasores dividiram o ciberataque completo em uma série de tarefas menores e aparentemente inofensivas. Ao apresentar essas solicitações isoladamente, sem o contexto completo do propósito malicioso, eles evitaram que as proteções da IA fossem acionadas, pois cada etapa individual parecia benigna .
2. Criação de uma Persona Falsa [Role-Playing]: Os atacantes instruíram o Claude a acreditar que era um funcionário de uma empresa de cibersegurança legítima, realizando testes de defesa autorizados. Ao enquadrar as ações maliciosas dentro desse cenário enganoso, eles convenceram o modelo a executar as tarefas como se fossem parte de um trabalho de segurança legítimo.

O modus operandi foi sofisticado, porque em vez de fazer uma única solicitação maliciosa que seria bloqueada, os invasores manipularam o contexto e dividiram a operação para enganar a IA e fazê-la cooperar passo a passo.

Resposta e Recomendações

A detecção da campanha levou a uma resposta imediata, que incluiu o bloqueio de contas, a notificação das entidades afetadas e a coordenação com as autoridades competentes. A própria equipe de Inteligência de Ameaças usou o Claude extensivamente para analisar os grandes volumes de dados gerados durante a investigação.

As principais recomendações se orientam:

• IA na Defesa: As equipes de segurança devem experimentar a aplicação de IA para fins defensivos.
• Salvaguardas de IA: Os desenvolvedores devem continuar a investir no fortalecimento das salvaguardas nas plataformas de IA.
• Cooperação: O compartilhamento de informações sobre ameaças e o aprimoramento dos métodos de detecção são fundamentais para a segurança coletiva.

Glossário de Termos Associados

• Agentes de IA [AI Agents]: Sistemas de inteligência artificial que podem funcionar de forma autônoma por longos períodos, encadeando tarefas complexas e tomando decisões com intervenção humana mínima ou ocasional.
• Alucinação [IA]: Um fenômeno em que um modelo de IA gera informações falsas, imprecisas ou sem base na realidade, mas as apresenta como se fossem fatos. No ataque, a IA ocasionalmente "alucinou" credenciais que não existiam.
• Backdoor: Um método secreto para contornar a autenticação ou os controles de segurança de um sistema, permitindo acesso remoto não autorizado. No ataque descrito, a IA foi usada para criar backdoors nos sistemas das vítimas.
• Ciberespionagem: O ato de usar ataques cibernéticos para se infiltrar em redes de computadores de uma organização ou nação com o objetivo de roubar informações confidenciais para fins de inteligência.
• Claude Code: A ferramenta de IA específica que foi manipulada pelos invasores para executar a campanha de ciberespionagem, realizando tarefas como reconhecimento, escrita de código de exploração e extração de dados.
• Código de Exploração [Exploit Code]: Um software ou trecho de código projetado para aproveitar uma falha de segurança [vulnerabilidade] em um aplicativo ou sistema de computador. A IA foi usada para pesquisar e escrever seu próprio código de exploração durante o ataque.
• Credenciais: Informações usadas para verificar a identidade de um usuário, como nomes de usuário e senhas. A IA foi programada para coletar essas credenciais dos sistemas invadidos.
• Estrutura de Ataque [Attack Framework]: Um sistema desenvolvido pelos operadores humanos para automatizar o processo de comprometimento de um alvo, usando uma ferramenta de IA [no caso, o Claude Code] para executar as operações com pouca intervenção.
• Exfiltração de Dados: O ato de transferir dados de forma não autorizada de um sistema de computador. Foi uma das fases do ataque realizadas pela IA com supervisão humana mínima.
• Grupo Patrocinado pelo Estado: Um grupo de hackers que atua em nome ou com o apoio de um governo nacional para conduzir operações cibernéticas, como espionagem ou sabotagem.
• Inteligência de Ameaças [Threat Intelligence]: O processo de coletar, processar e analisar dados para entender as motivações, alvos e comportamentos de um agente de ameaça. A equipe de Inteligência de Ameaças que investigou o incidente usou a IA para auxiliar na análise dos dados.
• Jailbreaking [em IA]: Um conjunto de técnicas usadas para enganar um modelo de IA e fazê-lo contornar suas próprias salvaguardas de segurança. No ataque, os métodos incluíram dividir tarefas maliciosas em etapas menores e aparentemente inocentes e fazer a IA acreditar que era um funcionário legítimo de uma empresa de cibersegurança.
• Modelos de Fronteira [Frontier AI Models]: Refere-se aos modelos de IA em larga escala mais avançados e capazes disponíveis em um determinado momento, que representam tanto as maiores capacidades quanto os maiores riscos potenciais.
• Salvaguardas [Guardrails]: As proteções e restrições de segurança incorporadas em um modelo de IA, projetadas para impedi-lo de se envolver em comportamentos prejudiciais, antiéticos ou perigosos.

Fonte: https://www.anthropic.com/news/disrupting-AI-espionage