Yapay zeka dünyasının “altın” çağına dair endişe verici bir gelişme daha yaşandı. Bloomberg’in haberine göre, bir hacker Meksika hükümet kurumlarına saldırmak için Anthropic’in Claude sohbet botunu kullandı. Saldırı sonucunda vergi mükellefi kayıtları ve çalışan kimlik bilgileri dahil olmak üzere 150 GB resmi hükümet verisi çalındı.
Hacker, ağlardaki güvenlik açıklarını bulmak ve bunları istismar edecek komut dosyaları yazmak için Claude’dan yararlandı. Siber güvenlik şirketi Gambit Security, sohbet botunun veri hırsızlığını otomatize edecek yollar bulmakla da görevlendirildiğini belirtti. Aralık ayında başlayan bu süreç yaklaşık bir ay sürdü.
Saldırgan, Claude’un koruma bariyerlerini aşmak için özel komutlarla sohbet botuna bir tür jailbreak uyguladı. Claude başlangıçta bu kötü niyetli talepleri reddetse de sonunda boyun eğdi.
Gambit Security strateji yöneticisi Curtis Simpson durumu şöyle açıklıyor: “Toplamda, uygulanmaya hazır planlar içeren binlerce detaylı rapor üretildi; bu raporlar operatöre hangi iç hedeflere saldıracağını ve hangi kimlik bilgilerini kullanacağını tam olarak gösteriyordu.”
Anthropic durumu incelediğini, faaliyetleri durdurduğunu ve tüm ilgili hesapları engellediğini bildirdi. Şirket sözcüsü, en yeni model olan Claude Opus 4.6 sürümünün bu tür kötüye kullanımları önleyecek araçlar içerdiğini belirtti.
Hacker’ın saldırıları desteklemek için ChatGPT’den de faydalandığı bildirildi. Sohbet botu, ağlarda nasıl ilerleneceği, sistemlere erişim için hangi bilgilerin gerektiği ve yakalanmadan nasıl hareket edileceği konusunda bilgi toplamak için kullanıldı. OpenAI, kullanım politikalarını ihlal etme girişimlerini tespit ettiğini ve araçlarının bu talepleri yerine getirmeyi reddettiğini açıkladı.
Saldırganın kimliği henüz belirlenemedi. Saldırı belirli bir gruba atfedilmese de Gambit Security, bu eylemin yabancı bir hükümetle bağlantılı olabileceğini öne sürüyor. Çalınan verilerin ne amaçla kullanılacağı da belirsizliğini koruyor.
Meksika ulusal dijital ajansı siber güvenliğin bir öncelik olduğunu belirtirken veri sızıntısı hakkında yorum yapmadı. Jalisco eyalet yönetimi sadece federal ağların etkilendiğini belirterek sızıntıyı reddetti. Ulusal seçim enstitüsü de son aylarda herhangi bir yetkisiz erişim yaşanmadığını savundu fakat Gambit, araştırması sırasında ülkenin pek üzerinde durmak istemediği en az 20 güvenlik açığı buldu.
Bu, Claude’un büyük bir siber saldırıda kullanıldığı ilk olay değil. Geçen yıl Çinli hackerlar aracı kullanarak küresel çapta onlarca hedefe sızmaya çalıştı ve bazılarında başarılı oldu. Anthropic, bir yapay zeka sistemini ancak güvenlik önlemlerinin yeterli olduğunu önceden garanti edebildiği takdirde eğitmeyi taahhüt eden ve uzun süredir devam eden güvenlik sözünü kısa süre önce iptal etti. O yüzden şirketin araçları geliştikçe geleceğin neler getireceği bilinmiyor.
Kaynak: https://www.engadget.com/ai/hacker-used-anthropics-claude-chatbot-to-attack-multiple-government-agencies-in-mexico-171237255.html
