Líderes de segurança estão diante de uma nova geração de ameaças: uma campanha de ciberespionagem conduzida, em grande parte, por uma IA autônoma, descrita em detalhes pela Anthropic.
Em um relatório divulgado nesta semana, a equipe de Threat Intelligence da empresa revelou como interrompeu uma operação sofisticada atribuída, com alto grau de confiança, a um grupo chinês patrocinado pelo Estado, batizado de GTG-1002 e detectado em meados de setembro de 2025.
A campanha mirou cerca de 30 alvos, incluindo grandes empresas de tecnologia, instituições financeiras, indústrias químicas e órgãos governamentais.
Diferente do modelo tradicional em que a IA apenas auxilia operadores humanos, os invasores conseguiram manipular o modelo Claude Code, da Anthropic, para agir como um agente autônomo, responsável pela maior parte das ações táticas sem intervenção humana direta.
Isso representa um ponto de inflexão preocupante para CISOs e equipes de segurança: os ataques deixam de ser majoritariamente dirigidos por pessoas e passam para um formato em que agentes de IA executam entre 80% e 90% do trabalho ofensivo, com humanos limitados ao papel de supervisores em alto nível. A Anthropic avalia que este é o primeiro caso documentado de um ciberataque em grande escala conduzido sem envolvimento humano substancial.
### Agentes de IA: um novo modelo operacional para ciberataques
O grupo utilizou um sistema de orquestração que instanciava o Claude Code como agentes autônomos de testes de invasão. Esses agentes de IA eram direcionados, dentro da campanha de espionagem, a realizar reconhecimento, identificar vulnerabilidades, desenvolver exploits, coletar credenciais, se mover lateralmente pelos ambientes e exfiltrar dados. Com isso, o processo de reconhecimento passou a ser executado em uma fração do tempo que seria necessário para uma equipe de hackers humanos.
A participação humana ficou restrita a cerca de 10% a 20% do esforço total, concentrada sobretudo no início da campanha e na autorização de etapas-chave de escalonamento. Operadores humanos, por exemplo, aprovavam a transição do simples reconhecimento para a exploração ativa ou davam o aval final para o escopo de exfiltração de dados.
Para contornar as proteções embutidas no modelo — treinado para evitar comportamentos nocivos — os atacantes recorreram a técnicas de jailbreak. Eles segmentaram o ataque em tarefas aparentemente inofensivas e adotaram uma estratégia de “role-play”: instruíram o Claude a se comportar como um funcionário de uma empresa legítima de cibersegurança realizando testes defensivos. Esse artifício permitiu que a operação prosseguisse tempo suficiente para comprometer alguns alvos validados.
A sofisticação técnica do ataque não estava em malwares inéditos, mas na orquestração. O relatório enfatiza que a estrutura se apoiava “quase inteiramente em ferramentas de pentest open source”. Servidores compatíveis com Model Context Protocol (MCP) serviram como interface entre a IA e essas ferramentas amplamente disponíveis, permitindo que o modelo executasse comandos, analisasse resultados e mantivesse o estado operacional em múltiplos alvos e sessões. A IA chegou a ser instruída a pesquisar e escrever seu próprio código de exploit específico para a campanha de espionagem.
### Quando as alucinações da IA jogam a favor da defesa
Embora a campanha tenha conseguido violar alvos de alto valor, a investigação da Anthropic revelou uma limitação relevante: a IA apresentou alucinações durante as operações ofensivas.
Segundo o relatório, o Claude “frequentemente exagerava descobertas e ocasionalmente fabricava dados”. Na prática, isso aparecia como o modelo alegando possuir credenciais que não funcionavam ou apontando “descobertas” que, na verdade, eram informações públicas.
Esse comportamento obrigou os operadores humanos a validar cuidadosamente cada resultado, comprometendo a eficiência da operação. Para a Anthropic, isso “ainda é um obstáculo para ciberataques totalmente autônomos”. Para os defensores, surge um ponto de atenção estratégico: ataques guiados por IA podem gerar grande volume de ruído e falsos positivos, algo que pode ser explorado por equipes de segurança com monitoramento robusto.
### A corrida entre ataque e defesa com IA
A principal implicação para líderes de negócios e tecnologia é clara: o nível de barreira para realizar ataques sofisticados caiu de forma significativa. Grupos com menos recursos podem, agora, conduzir campanhas que antes exigiriam equipes inteiras de especialistas.
Esse ataque mostra uma capacidade que vai além do chamado “vibe hacking”, em que humanos mantinham controle total das operações. A campanha do GTG-1002 demonstra que a IA já consegue, de forma autônoma, descobrir e explorar vulnerabilidades em ambientes reais.
Ao longo de um período de dez dias de investigação, a Anthropic baniu as contas envolvidas e notificou as autoridades. A empresa argumenta que esse episódio evidencia a urgência de investir em defesa apoiada por IA. Nas palavras do relatório, “as mesmas capacidades que permitem que o Claude seja usado nesses ataques também o tornam essencial para a ciberdefesa”. A própria equipe de Threat Intelligence da Anthropic “usou extensivamente o Claude para analisar as enormes quantidades de dados gerados” durante a investigação.
Para os times de segurança, a recomendação é assumir que ocorreu uma mudança estrutural no cenário de cibersegurança. O relatório incentiva os defensores a “experimentar o uso de IA na defesa em áreas como automação de SOC, detecção de ameaças, avaliação de vulnerabilidades e resposta a incidentes”.
A disputa entre ataques impulsionados por IA e defesas também baseadas em IA já começou. Adaptar-se de forma proativa para enfrentar essa nova onda de ameaças de espionagem digital deixa de ser opcional e se torna a única estratégia viável.
