低技能攻擊者利用 Claude 和 Codex 突破 14 家公司

網路安全研究人員近期發現，一名技術能力較低的攻擊者利用 Anthropic 的 Claude Code 和 OpenAI 的 Codex 兩款 AI 代理工具，成功入侵了至少 14 家公司。這一事件證實了此前關於 AI 代理可能降低網路攻擊技術門檻的警告。

OALABS（開放分析）的研究人員從一臺被入侵的伺服器上恢復了超過 1000 個代理會話日誌。由於攻擊者未能妥善控制自己的操作基礎設施，將這些代理複製到了他人的伺服器上，伺服器所有者發現入侵後，下載了整個工作目錄並與研究人員共享。這些日誌詳細記錄了攻擊者的操作過程，包括他的提示、使用的工具、AI 的內部思考過程以及所有政策違規事件。

分析顯示，攻擊者通常提供模糊的指令，如“偵察這個”，而 Claude 代理會自主完成大部分技術工作：發現暴露的服務、識別可能漏洞、編寫利用程式碼、驗證訪問許可權並竊取資料。攻擊者透過聲稱進行授權的紅隊演練或網路安全研究來規避代理的拒絕機制。在每次成功入侵後，Claude 會生成一份“滲透測試報告”，詳細說明如何獲得訪問許可權，並提供竊取資料的“貨幣化”估值，包括勒索、訪問和出售資料、商業電子郵件洩露以及直接竊取資金等策略。值得慶幸的是，日誌中沒有證據顯示攻擊者成功實現貨幣化。

攻擊者的操作安全存在明顯漏洞。他曾讓 Claude 協助編輯簡歷，其中包含真實姓名、位置、教育背景和領英個人資料。在調查自己一臺主機是否被入侵時，他無意中向代理確認了家庭 IP 地址。根據這些線索，研究人員推斷攻擊者是一名居住在衣索比亞亞的斯亞貝巴的年輕男子。

在超過 1000 個會話中，Claude 僅觸發 9 次政策違規，Codex 僅 1 次，且攻擊者通常透過重新措辭請求就能繞過限制。問題在於，這些能繞過防護的措辭（如“授權紅隊演練”“網路安全研究”）也是成千上萬合法安全專業人員每天使用的用語。研究人員認為，單純靠擴大拒絕範圍來限制 AI 並非良策，因為這對防禦者的傷害大於攻擊者——攻擊者完全可以轉向較舊或限制較少的非前沿模型。