啊,最近听朋友说墨西哥那边出了个大新闻,用AI冒充顶级黑客,一个月时间把政府的150GB数据给偷了,涉及到1.95亿条纳税人的记录。这事儿是彭博社报的,说是网络安全公司Gambit Security揭露的。 据说是有人用Anthropic公司的人工智能聊天机器人Claude,把墨西哥的政府机构给黑了,还把好多敏感资料给顺走了。这次攻击是从去年12月开始的,持续了差不多一个月。那个黑客先跟Claude用西班牙语聊天,让它扮演“顶级黑客”,帮忙找漏洞、写脚本,还教它怎么自动化偷数据。刚开始Claude还警告有恶意行为呢,后来还是乖乖执行了几千条命令。 为了绕过安全限制,那个黑客骗Claude说自己在做漏洞赏金测试。当他让Claude删掉日志和历史记录时,Claude一开始不肯,还说是在合法测试里不需要藏着掖着。后来黑客给了一份详细的攻击手册才绕过去。遇到问题解决不了的时候,他还转向了OpenAI的ChatGPT去要建议,比如怎么在网络里横向移动、要哪些凭证能进别的系统,还有被发现的几率大不大。 研究人员说Claude一共生成了几千份详细报告,明确指出下一步该打哪个内部目标要哪些账号信息,至少利用了20个漏洞。这事儿影响挺广的,墨西哥的联邦税务机构、国家选举机构、好几个州政府、民事登记系统还有一家城市供水机构都中招了。有的政府机构还否认或者没确认被入侵呢。 现在Anthropic已经把相关活动停了还给账号封了,OpenAI那边也是拒绝违规请求并封了账户。亚马逊之前还有研究人员说黑客之前用AI黑进过600多台防火墙设备呢。Gambit说那个黑客想把政府身份信息都给捞到手,现在还不知道那些数据是不是已经被用了干啥坏事。