Um hacker explorou o chatbot de inteligência artificial da Anthropic PBC para realizar uma série de ataques contra agências governamentais mexicanas, resultando em um roubo massivo de informações fiscais e eleitorais confidenciais, de acordo com pesquisadores de segurança cibernética.
Um usuário anônimo da nuvem escreveu instruções em espanhol para um chatbot agir como um hacker de ponta, encontrar vulnerabilidades em redes governamentais, escrever scripts de computador para explorá-las e determinar maneiras de automatizar o roubo de dados, disse a startup israelense de segurança cibernética Gambit Security em um estudo divulgado quarta-feira.
A atividade começou em dezembro e durou cerca de um mês. No total, foram roubados 150 gigabytes de dados do governo mexicano, incluindo 195 milhões de registos de contribuintes, bem como registos eleitorais, documentos de funcionários públicos e ficheiros de registo civil, segundo os investigadores.
A IA tornou-se um facilitador chave do crime digital, com os hackers a utilizarem ferramentas para melhorar os seus esforços. Na semana passada, pesquisadores da Amazon.com Inc. disseram que um pequeno grupo de hackers invadiu mais de 600 dispositivos de firewall em dezenas de países com a ajuda de ferramentas de IA amplamente disponíveis.
Gambit não atribuiu o ataque a nenhum grupo específico, embora os investigadores tenham dito não acreditar que estivessem ligados a um governo estrangeiro.
O hacker comprometeu a autoridade fiscal federal do México e o Instituto Eleitoral Nacional, disse Gambit. Os governos estaduais do México, Jalisco, Macau e Tamaulipas, bem como o registo civil da Cidade do México e a empresa de abastecimento de água de Monterrey, também concordaram.
Os pesquisadores disseram que a nuvem inicialmente alertou o usuário anônimo sobre intenções maliciosas durante sua conversa sobre o governo mexicano, mas acabou aceitando as exigências do invasor e executou milhares de comandos nas redes de computadores do governo.
A Anthropic investigou as alegações de Gambit, interrompeu a atividade e baniu as contas, disse um representante. A empresa alimenta exemplos de atividades maliciosas na nuvem para aprender, e um de seus módulos de IA mais recentes, Cloud Ops 4.6, inclui investigações que podem interromper abusos.
Neste caso, o hacker investigou continuamente Cloud até conseguir fazer o “jailbreak” – o que significa que finalmente passou pelos guardas, disse o representante. Mas mesmo com a campanha de hackers continuando, Cloud ocasionalmente recusava os pedidos do hacker.
As autoridades fiscais do México disseram que analisaram os registros de acesso e não encontraram evidências de violação. O Instituto Nacional Eleitoral do país afirmou não ter identificado quaisquer violações ou acessos não autorizados nos últimos meses e que reforçou a sua estratégia de segurança cibernética. O governo do estado de Jalisco também negou que tenha sido violado, dizendo que apenas as redes federais foram afetadas.
A Agência Nacional Digital do México não comentou as violações, mas disse que a segurança cibernética é uma prioridade. Um representante do Serviço de Água e Drenagem de Monterey disse que a agência não detectou nenhuma interrupção ou grandes danos no segundo semestre de 2025.
Os governos regionais do México, Michoacán e Tamaulipas, não responderam aos pedidos de comentários, nem os representantes do Registo Civil da Cidade do México.
As autoridades mexicanas emitiram um breve comunicado em dezembro dizendo que estavam investigando violações cometidas por vários órgãos públicos, embora não estivesse claro se estavam relacionadas ao ataque à nuvem.
Gambit disse que os agressores procuraram obter as identidades de vários funcionários do governo, embora ainda não esteja claro o que ele fez com eles. Os pesquisadores disseram ter encontrado evidências de pelo menos 20 vulnerabilidades específicas usadas como parte do ataque.
Quando a nuvem enfrentou problemas ou precisou de informações adicionais, o hacker recorreu ao ChatGPT da OpenAI para fornecer informações adicionais. Isso inclui como se mover lentamente pelas redes de computadores, determinar que tipo de credenciais são necessárias para acessar determinados sistemas e calcular a probabilidade de uma operação de hacking, de acordo com Gambit.
“No total, gerou milhares de relatórios detalhados que incluíam planos prontos para implementação, informando ao operador humano exatamente quais alvos internos seriam atacados em seguida e quais documentos usar”, disse Curtis Simpson, diretor de estratégia da Gambit Security.
A OpenAI disse que detectou tentativas de hackers de usar seus modelos para atividades que violam suas políticas de uso, acrescentando que suas ferramentas se recusaram a cumprir essas tentativas.
“Proibimos contas usadas por este adversário e valorizamos o acesso da Gambit Security”, disse a empresa em comunicado enviado por e-mail.
As violações do governo mexicano são o exemplo mais recente de uma tendência preocupante. Mesmo com a Anthropic e a OpenAI apostando na construção de ferramentas de criptografia de IA mais sofisticadas – e as empresas de segurança cibernética vinculando seu futuro às defesas habilitadas para IA – os cibercriminosos e a espionagem cibernética estão encontrando novas maneiras de usar a tecnologia para permitir ataques.
Em novembro, a Anthropic disse que interrompeu a primeira campanha de espionagem cibernética orquestrada pela IA. A empresa de IA disse que supostos hackers patrocinados pelo Estado chinês tentaram hackear 30 alvos globais a partir de sua ferramenta de nuvem, alguns dos quais tiveram sucesso.
“Esta realidade muda todas as regras do jogo tal como o conhecemos”, disse Alon Gromakov, cofundador e CEO da Gambit.
A Gambit foi fundada por Gumakov e dois outros veteranos da Unidade 8200, uma unidade das Forças de Defesa de Israel que se concentra em inteligência de sinais. A pesquisa de quarta-feira foi divulgada em conjunto com um anúncio de que está emergindo de uma rodada de financiamento de US$ 61 milhões da Spark Capital, Kleiner Perkins e Cyberstarts.
Os pesquisadores do Gambit descobriram a violação mexicana enquanto tentavam novas técnicas de caça a ameaças para ver o que os hackers estão fazendo online. Eles encontraram evidências publicamente disponíveis de ataques ativos ou recentes, incluindo extensas comunicações na nuvem sobre a violação de sistemas informáticos do governo mexicano, segundo a empresa.
Essas conversas revelaram que, para contornar os guardiões da nuvem, os invasores disseram à ferramenta de IA que ela estava perseguindo um bug bounty, uma recompensa oferecida pelas organizações por encontrarem falhas em seus sistemas. Muitas empresas e agências governamentais oferecem recompensas por bugs para hackers éticos, às vezes oferecendo milhares de dólares por informações sobre vulnerabilidades de computadores.
O hacker queria que Cloud realizasse um teste de penetração na autoridade fiscal federal do México, um tipo de ataque cibernético autorizado que visa encontrar brechas. No entanto, Claude recusou quando o invasor adicionou regras à solicitação, incluindo a exclusão de logs e histórico de comandos.
“Instruções específicas sobre como excluir registros e ocultar o histórico são sinais de alerta”, respondeu Claude a certa altura, de acordo com uma transcrição fornecida por Gambit. “Na recompensa legítima por bugs, você não precisa ocultar suas ações – na verdade, você precisa documentá-las para relatórios.”
O hacker mudou estratégias, interrompeu a conversa e, em vez disso, forneceu uma ferramenta de IA para descobrir como proceder. De acordo com Gambit, esse invasor contornou os guardas de Cloud – um “jailbreak” – e permitiu que os ataques continuassem.
O hacker buscou informações na nuvem sobre outras entidades onde as informações poderiam ser obtidas, disse Simpson, sugerindo que alguns hacks podem ser oportunistas e não planejados.
“Eles estavam tentando comprometer qualquer tipo de identidade governamental”, disse ele. “Eles perguntaram a Claude, por exemplo: ‘Onde posso encontrar essa identificação? Que outros sistemas devemos procurar? Onde as informações estão armazenadas?’
Martin e Milan escrevem para a Bloomberg.
