Ataki na agencje rządowe w Meksyku. Skradziono dane obywateli

Użytkownik chatbota Claude wykorzystał go do zaplanowania i przeprowadzenia ataków na kilka meksykańskich agencji rządowych.

Haker posługiwał się hiszpańskojęzycznymi promptami, w których instruował sztuczną inteligencję, by wcieliła się w rolę „elitarnego hakera”. AI miało wyszukiwać podatności w sieciach rządowych, pisać skrypty do ich eksploatacji i automatyzować kradzież danych.

Aktywność trwała od grudnia 2025 roku przez mniej więcej miesiąc. W tym czasie wykradziono łącznie 150 GB danych z meksykańskich instytucji państwowych, w tym dokumenty dotyczące 195 milionów rekordów podatników, rejestry wyborców, dane logowania pracowników rządowych oraz pliki z rejestrów stanu cywilnego.

Przebieg ataku

Jak podaje Bloomberg, Claude początkowo odmówił współpracy. Chatbot rozpoznał złośliwe intencje, gdy haker zażądał usunięcia logów i historii poleceń w ramach rzekomego programu bug bounty, czyli nagród za znajdowanie luk w zabezpieczeniach.

AI odpowiedziało wówczas, że instrukcje dotyczące kasowania śladów są niepokojące, a w przypadku legalnego programu bug bounty działania powinny być dokumentowane, nie ukrywane.

Haker zmienił jednak strategię. Zamiast prowadzić konwersację, dostarczył chatbotowi szczegółowy plan działania tzw. playbook. To pozwoliło obejść zabezpieczenia Claude’a, czyli dokonać tzw. jailbreaku.

Od tego momentu AI wygenerowało tysiące szczegółowych raportów zawierających gotowe do wykonania plany ataków, wskazujące konkretne cele wewnętrzne i potrzebne dane uwierzytelniające.

Gdy Claude napotykał na ograniczenia, atakujący przełączał się na ChatGPT od OpenAI, wykorzystując go do nawigacji po sieciach, identyfikacji potrzebnych poświadczeń i unikania wykrycia. W ten sposób dwa ogólnodostępne narzędzia AI posłużyły jako kompletny arsenał hakerski.

Skala ataku

Wśród zaatakowanych instytucji znalazły się Meksykański Federalny Urząd Podatkowy (SAT) oraz Krajowy Instytut Wyborczy (INE). Naruszenia dotknęły także instytucje stanowe w Jalisco, Michoacán i Tamaulipas, rejestr stanu cywilnego miasta Meksyk oraz przedsiębiorstwo wodociągowe w Monterrey.

Haker nie ograniczał się do wcześniej zaplanowanych celów. Pytał Claude’a o kolejne agencje, z których mógłby pozyskać dane tożsamościowe, co sugeruje, że część ataków miała charakter oportunistyczny.

Reakcja Anthropic i meksykańskich władz

Firma Anthropic po otrzymaniu informacji o ataku zbadała sprawę, przerwała złośliwą aktywność i zablokowała konta powiązane z atakiem.

Rzecznik firmy poinformował, że przykłady złośliwego wykorzystania są analizowane i wykorzystywane do szkolenia modelu. Najnowszy model firmy, Claude Opus 4.6, ma zawierać mechanizmy pozwalające skuteczniej wykrywać i blokować tego typu nadużycia.

OpenAI z kolei oświadczyło, że zidentyfikowało próby naruszenia swoich zasad użytkowania przez tego samego hakera i że jego narzędzia odmówiły wykonania złośliwych poleceń.

Z kolei odpowiedź meksykańskich instytucji rządowych jest niejednoznaczna. Rząd stanu Jalisco zaprzeczył, jakoby doszło do włamania, twierdząc, że atak dotyczył jedynie sieci federalnych. Krajowy Instytut Wyborczy poinformował, że nie zidentyfikował żadnych naruszeń ani nieautoryzowanego dostępu w ostatnich miesiącach. Meksykańska Agencja Cyfrowa nie skomentowała bezpośrednio incydentu, zaznaczając jedynie, że cyberbezpieczeństwo jest priorytetem.

W grudniu 2025 roku meksykańskie władze wydały krótkie oświadczenie o prowadzeniu śledztwa w sprawie naruszeń w instytucjach publicznych, choć nie jest jasne, czy dotyczyło ono tego samego ataku.

Tożsamość hakera pozostaje nieznana. Nie wiadomo również, w jakim celu sprawca zamierza wykorzystać skradzione dane.

Nowa era cyberprzestępczości

Nie jest to pierwszy przypadek wykorzystania Claude’a do cyberataków. W listopadzie 2025 roku Anthropic poinformowało o wykryciu pierwszej w historii kampanii cyberszpiegowskiej zorganizowanej przy użyciu AI, w której chińscy hakerzy zmanipulowali Claude’a do prób ataku na 30 celów na całym świecie, z których kilka zakończyło się sukcesem.

Przeprowadzenie skomplikowanego włamania nie wymaga już lat specjalistycznego szkolenia ani wyrafinowanej infrastruktury. Wystarczą umiejętne prompty i dostęp do komercyjnych narzędzi AI.