O relatório da Anthropic é frágil demais para ser confiável

 (djnn.sh)
1 pontos por GN⁺ 2025-11-17 | 2 comentários | Compartilhar no WhatsApp
  • O relatório sobre atividade de ciberespionagem baseada em IA publicado pela Anthropic afirma ter detectado ataques de um grupo de hackers apoiado pelo Estado chinês, mas é criticado pela falta de base técnica e de informações verificáveis
  • O relatório não inclui nenhum dos elementos centrais de um relatório comum de inteligência de ameaças, como IoCs (indicadores de comprometimento), TTPs (táticas, técnicas e procedimentos), informações sobre domínios, hashes e ferramentas de ataque
  • Como não apresenta dados ou evidências concretas sobre os detalhes do ataque, os tipos de ferramentas ou sistemas usados e a escala dos danos, o material acaba sendo uma alegação impossível de verificar
  • Em especial, a alegação de atribuição do ataque a um grupo ligado ao governo chinês também não tem base apresentada, o que torna a divulgação irresponsável diante do potencial impacto diplomático
  • De forma geral, o relatório é avaliado como um material usado para promover o próprio produto de IA da empresa sem evidências baseadas em fatos, reforçando a necessidade de maior transparência e padrões de verificação mais rigorosos no setor

Visão geral do relatório da Anthropic

  • A Anthropic, empresa que desenvolve o assistente de IA Claude, publicou recentemente um relatório afirmando ter detectado uma “operação de ciberespionagem conduzida por IA”
  • Segundo o relatório, por volta de setembro de 2025 o grupo de hackers GTG-1002 apoiado pelo Estado chinês teria realizado ataques contra cerca de 30 organizações, com algumas invasões bem-sucedidas
  • O documento descreve que o ataque utilizou uma instância do Claude Code para executar testes de invasão de forma autônoma e automatizar 80% a 90% do trabalho tático

Falta de base técnica

  • O relatório não traz nenhum indicador de comprometimento (IoC) normalmente divulgado, como domínios, hashes, IPs, e-mails de phishing e ferramentas utilizadas
  • Também estão ausentes análises baseadas no framework MITRE ATT&CK, momento dos ataques, informações sobre o ferramental usado e recomendações de resposta
  • Em comparação com relatórios como o da APT28 do CERT da França, o formato é avaliado como abaixo do padrão da indústria

Alegações impossíveis de verificar

  • O número apresentado no relatório de que “a IA realizou 80% a 90% do trabalho tático” é impossível de verificar
  • Afirma-se que o Claude executou extração de certificados, coleta de credenciais e consultas a serviços internos, mas não há menção ao modo exato de execução nem às ferramentas usadas (como Mimikatz)
  • Também não há explicação sobre quais sistemas ou ambientes foram comprometidos nem como os dados foram processados

Problema de atribuição

  • O relatório afirma categoricamente que o ataque foi de um grupo ligado ao governo chinês, mas não apresenta evidências
  • Não fica claro de qual grupo APT se trata nem por meio de que análise essa atribuição foi feita
  • O autor critica essa atribuição estatal sem fundamento como algo diplomaticamente arriscado e uma divulgação irresponsável

Conclusão e crítica

  • O relatório parece focado em promover a própria solução de defesa com IA da empresa sem verificação factual
  • No último parágrafo, recomenda-se que “equipes de segurança devem aplicar IA à defesa”, o que revela uma intenção de induzir a venda de produtos de segurança com IA
  • O autor classifica isso como uma “conduta vergonhosa e antiprofissional” e pede padrões de verificação mais fortes e responsabilidade ética em todo o setor
  • Alegações sem fundamento podem prejudicar a credibilidade da pesquisa em segurança, e é necessária a divulgação de evidências baseadas em fatos

Leituras relacionadas

2 comentários

 
GN⁺ 2025-11-17
Opinião no Hacker News

  • Quando eu era SRE/admin de sistemas em um laboratório de pesquisa em IA de uma empresa FAANG, pediram para eu testar um modelo base ajustado para segurança da informação
    Tentei induzi-lo a hackear impressoras simuladas ou caixas Linux, mas na prática isso não ajudou muito
    Não me parece que esse tipo de modelo seja útil para orquestração de ataques. Especialmente quando a API está vinculada a uma conta bancária, montar uma estrutura de comando e controle sobre um sistema exposto é uma escolha arriscada

    • Acho que para cibercriminosos essas restrições não significam muita coisa. Muitas vezes eles pagam com chaves de API roubadas ou contas roubadas
      As IAs mais recentes são muito melhores do que antes e, se você contornar os filtros de segurança, elas executam tarefas de segurança com facilidade
    • Fiquei me perguntando se a expressão “operado por um adolescente rotulador de dados” seria uma referência ao Alexandr Wang. Na Wikipédia ele aparece com 28 anos
    • O motivo de atores maliciosos escolherem o Claude provavelmente não é a capacidade de escrever código de ataque, mas o fato de muitas organizações ocidentais usarem Claude
      O modelo Sonnet foi treinado de acordo com padrões de código ocidentais, então leva vantagem para encontrar vulnerabilidades em sistemas que lidam com dados da mesma distribuição
      Em ataques de phishing também é mais fácil reproduzir um tom de linguagem natural
    • “Meta e seus rotuladores de dados adolescentes” me trouxe lembranças
    • Mesmo que a API esteja atrelada a uma conta bancária, serviços intermediários como o OpenRouter aceitam pagamento em criptomoeda

  • O histórico de correções do blog da Anthropic é interessante
    Em 14 de novembro de 2025, corrigiram de “milhares de requisições por segundo” para “milhares de requisições, ocorrendo várias vezes por segundo”

    • É estranho concluir, com base na expressão “várias requisições por segundo”, que o ataque foi feito por um modelo autônomo e não por humanos
      Humanos também conseguem executar várias tarefas por segundo usando código
    • Não acho que uma pessoa técnica confundiria esse tipo de unidade

  • As pessoas subestimam as APTs (ameaças persistentes avançadas)
    No lugar onde eu trabalhava também houve um incidente de invasão no Gmail, e foi um ataque composto, combinando vários zero-days com uma campanha de engenharia social
    No fim, apareceram indícios de um ator estatal específico, e a IA serve para acelerar a eficiência desse tipo de ataque

    • Na prática, entre as APTs também há muitos atacantes pouco qualificados. Já vi servidor HTTP sem senha deixando a pasta raiz inteira exposta
      Eles vencem no volume, mas a qualidade é baixa. Por isso não confio totalmente no relatório da Anthropic
    • Ouvindo sobre as “últimas novidades de hardware e software”, de repente parece que você assinou mais um podcast de tecnologia
    • Me surpreende se for verdade que vários zero-days foram usados em um único ataque
    • Quero confirmar se APT significa Advanced Persistent Threat

  • Há uma grande lacuna de conhecimento entre pesquisadores de Infosec e pesquisadores de segurança em ML
    A Anthropic tem muita gente do segundo grupo e pouca do primeiro
    O artigo Attacker Moves Second também trata dessa diferença
    Em ML, usam ASR (Attack Success Rate) como métrica, mas em segurança até um único sucesso já é considerado grave
    ML assume testes estáticos, enquanto segurança assume um atacante adaptativo

    • Pesquisador de ML não é especialista em segurança. É preciso usar as duas áreas juntas para ver o quadro completo
      ML faz o papel de blue team, e os pesquisadores de segurança fazem o de red team

  • O artigo inteiro pareceu um texto de marketing no estilo “o Claude é tão poderoso que hackers chineses o usam

    • Lembra o rumor antigo de que o PlayStation 2 era tão poderoso que o Iraque o usava como supercomputador
      Link da matéria relacionada
    • Como a Anthropic fez um bom trabalho com o Claude, parece que passou a achar que também é especialista em segurança
      Por isso o relatório parece ter sido escrito em desacordo com os padrões do setor
    • Enfatizar a “ameaça chinesa” pode render simpatia do governo dos EUA
      Eles podem até ter detectado ataques de verdade, mas afirmar que eram grupos patrocinados pelo governo chinês parece marketing exagerado
    • Fazer propaganda no estilo “nosso produto é perigoso” é uma estratégia rara fora da indústria de defesa
      Ainda assim, se não divulgassem, poderiam ser criticados por encobrimento, então também pode ter sido uma publicação com objetivo de alerta

  • O problema é a falta de base para cravar que o ataque veio de grupos apoiados pela China
    Esse tipo de relatório parece uma mensagem política para induzir investimento do governo dos EUA

    • É raro relatórios públicos revelarem até ferramentas detalhadas e URLs
      Num relatório para o governo isso pode existir, mas num post de blog esse nível de detalhe pode ser omitido
      Ainda assim, acho forçado concluir que “falta de evidência” significa automaticamente “manipulação política”
      A mera possibilidade de a IA ser usada nesses ataques já é um sinal de alerta suficiente
    • A Anthropic já segue há muito tempo uma linha anti-China
      Também é possível que tenham destacado de propósito um incidente que incluía alguns IPs chineses
    • A bolha da IA vai estourar em breve, e parece que as empresas estão tentando se vender como infraestrutura de segurança nacional para receber apoio do governo
    • É irônico gritarem que “a China rouba tecnologia” enquanto eles mesmos fazem treinamento não autorizado com obras protegidas

  • Fico me perguntando se a Anthropic realmente tem especialistas em segurança
    Pode ser só estratégia corporativa, mas também pode ser que falte capacidade de segurança na estrutura interna

    • Costumo criticar a falta de capacidade de engenharia deles. Uma empresa assim dificilmente teria uma estrutura de segurança sólida
    • Fazer alegações como “operação de espionagem patrocinada pelo governo chinês” sem evidência, em um contexto de falta de pessoal de segurança, é uma atitude irresponsável
    • De qualquer forma, eles devem ter o próprio modelo treinado com esse tipo de relatório, então é estranho não conseguirem fazer a análise diretamente
    • Existe até uma apresentação em vídeo sobre o uso de IA para resolver problemas de segurança
      Link do YouTube

  • Quem já usou uma IA assistente de programação como o Claude não subestima sua capacidade
    As alegações do relatório parecem totalmente plausíveis

    • Eu dou ao Claude acesso por SSH e deixo que ele investigue diretamente problemas de rede dentro do servidor
      O processo de analisar tcpdump e tabela de roteamento foi bem útil
      Mas é preciso entender os limites e em que ponto ele falha, para poder intervir manualmente
    • Postagens no estilo “eu nunca usei, mas” aparecem com frequência no HN
      Quando alguém que nunca usou fala como especialista, isso reduz a credibilidade
    • O problema do relatório não é a possibilidade da ferramenta, e sim a ausência de evidência
      Só possibilidade não basta para fazer um relatório confiável
    • A Anthropic apresentou apenas plausibilidade, sem base empírica, então a qualidade é baixa e a motivação parece suspeita

  • O relatório da Anthropic pareceu propaganda do tipo “nossa tecnologia é tão poderosa que pode ser abusada”
    Como em anúncio de arma dizendo “veja como esta arma é perigosa”

  • Quando vi o título pela primeira vez, achei que era sobre a empresa de papel Anthropic fazendo papel com cheiro estranho
    E, mesmo depois de ler tudo, ainda parece besteira