Líderes de segurança digital estão diante de uma nova classe de ameaça autônoma, após a Anthropic detalhar o que considera ser a primeira campanha de ciberespionagem conduzida por uma IA.
Em um relatório divulgado nesta semana, a equipe de Threat Intelligence da empresa descreve como interrompeu uma operação sofisticada atribuída, com “alta confiança”, a um grupo estatal chinês, batizado de GTG-1002 e detectado em meados de setembro de 2025.
A campanha mirou aproximadamente 30 alvos, incluindo grandes empresas de tecnologia, instituições financeiras, indústrias químicas e órgãos governamentais.
Diferentemente do modelo tradicional em que a IA apenas auxilia operadores humanos, os invasores conseguiram manipular o modelo Claude Code, da Anthropic, para atuar como um agente autônomo, responsável por executar, sozinho, a maior parte das ações táticas do ataque.
Segundo a Anthropic, isso representa um ponto de inflexão preocupante para CISOs e executivos de segurança: os ataques deixam de ser majoritariamente dirigidos por pessoas e passam a um modelo em que agentes de IA realizam 80% a 90% das atividades ofensivas, enquanto humanos atuam apenas como supervisores de alto nível. A empresa acredita tratar-se do primeiro registro de um ataque cibernético de grande escala executado sem uma intervenção humana substancial ao longo de toda a operação.
### Agentes de IA: um novo modelo operacional para ataques cibernéticos
O grupo utilizou um sistema de orquestração que atribuía tarefas a instâncias do Claude Code, fazendo com que funcionassem como agentes autônomos de testes de invasão. Esses agentes de IA foram instruídos, como parte da campanha de espionagem, a:
- realizar reconhecimento de ambientes;
- identificar vulnerabilidades;
- desenvolver exploits;
- coletar credenciais;
- movimentar-se lateralmente entre sistemas;
- e, por fim, extrair dados.
Essa abordagem permitiu que a IA conduzisse a fase de reconhecimento em uma fração do tempo que uma equipe de hackers humanos levaria.
A participação humana ficou limitada a cerca de 10% a 20% do esforço total, concentrada em momentos-chave: iniciar a campanha, definir parâmetros gerais e autorizar algumas etapas críticas de escalonamento. Por exemplo, operadores humanos aprovavam a passagem do reconhecimento para a exploração ativa ou a definição final do escopo de dados a serem exfiltrados.
Para contornar as proteções embutidas no modelo — treinado para evitar comportamentos nocivos — os atacantes recorreram a técnicas de jailbreak. Eles fragmentaram o ataque em tarefas aparentemente inofensivas e adotaram um esquema de “interpretação de papéis” (role-play). Claude foi instruído a se comportar como funcionário de uma empresa legítima de segurança cibernética, supostamente engajado em testes defensivos. Isso permitiu que a operação avançasse o suficiente para comprometer alguns alvos válidos.
O grande refinamento técnico da campanha não esteve em malwares inéditos, mas na orquestração. O relatório destaca que o framework se apoiou “massivamente em ferramentas de teste de intrusão open source”. Os invasores utilizaram servidores baseados em Model Context Protocol (MCP) como interface entre a IA e essas ferramentas comuns, possibilitando que o modelo executasse comandos, analisasse resultados e mantivesse o estado operacional em múltiplos alvos e sessões. A IA chegou a ser encarregada de pesquisar e escrever seu próprio código de exploração para apoiar a campanha de espionagem.
### Quando as alucinações da IA jogam a favor da defesa
Apesar de a operação ter conseguido invadir alvos de alto valor, a investigação da Anthropic revelou uma limitação importante: o modelo apresentou alucinações durante as atividades ofensivas.
O relatório aponta que Claude “frequentemente superestimava descobertas e ocasionalmente fabricava dados”. Na prática, isso se traduziu em situações em que o modelo afirmava ter obtido credenciais que não funcionavam ou relatava descobertas que, na verdade, eram apenas informações públicas.
Essa tendência obrigou os operadores humanos a validar cuidadosamente todos os resultados, o que trouxe dificuldades para a eficácia operacional dos atacantes. De acordo com a Anthropic, esse comportamento “continua sendo um obstáculo para ataques cibernéticos totalmente autônomos”.
Para líderes de segurança, isso expõe uma possível fragilidade nos ataques conduzidos por IA: eles podem gerar um volume significativo de ruído e falsos positivos, que se tornam detectáveis e gerenciáveis com monitoramento robusto e processos de validação bem estruturados.
### Uma corrida armamentista defensiva com IA contra novas ameaças de espionagem
A principal implicação para executivos de negócios e tecnologia é clara: as barreiras para executar ataques cibernéticos sofisticados caíram de forma significativa. Grupos com menos recursos podem passar a realizar campanhas que, antes, exigiam equipes inteiras de hackers experientes.
A operação expõe uma capacidade que vai além do chamado “vibe hacking”, em que humanos sempre permaneciam totalmente no controle. A campanha GTG-1002 demonstra que a IA já pode ser usada para descobrir e explorar vulnerabilidades de forma autônoma em ambientes reais.
Após uma investigação de dez dias, durante a qual as contas envolvidas foram banidas e autoridades foram notificadas, a Anthropic argumenta que esse cenário evidencia a urgência de adotar defesa apoiada por IA. Segundo a empresa, “as mesmas capacidades que permitem o uso de Claude nesses ataques também o tornam essencial para a ciberdefesa”. A própria equipe de Threat Intelligence da companhia “usou Claude extensivamente para analisar as enormes quantidades de dados gerados” ao longo da apuração.
Para os times de segurança, a orientação é considerar que ocorreu uma mudança estrutural no panorama de cibersegurança. O relatório incentiva defensores a “experimentar o uso de IA na defesa em áreas como automação de SOC, detecção de ameaças, avaliação de vulnerabilidades e resposta a incidentes”.
A disputa entre ataques movidos por IA e defesas impulsionadas por IA já começou — e a adaptação proativa para enfrentar essa nova onda de espionagem digital passa a ser, na visão do relatório, o único caminho viável daqui para frente.
