Um hacker explorou o chatbot de inteligência artificial da Anthropic PBC para realizar uma série de ataques a agências governamentais mexicanas, resultando em roubo massivo de informações fiscais e eleitorais, segundo pesquisadores de segurança cibernética.
O usuário não identificado Claude escreveu instruções em espanhol para que o chatbot se passasse por um hacker de elite, encontrando vulnerabilidades em redes governamentais, escrevendo scripts de computador para explorá-las e determinando como facilitar o roubo de dados, disse a startup israelense de segurança cibernética Gambit Security em pesquisa publicada na quarta-feira.
O evento começou em dezembro e durou cerca de um mês. No total, foram roubados 150 gigabytes de dados do governo mexicano, incluindo documentos relacionados com 195 milhões de registos de contribuintes, bem como registos eleitorais, informações de funcionários públicos e documentos de registo civil, segundo os investigadores.
A IA tornou-se um importante facilitador do crime digital, com os hackers a utilizarem a ferramenta para impulsionar os seus esforços. Na semana passada, pesquisadores da Amazon.com Inc. disseram que um pequeno grupo de hackers invadiu mais de 600 dispositivos de firewall em dezenas de países com a ajuda de ferramentas de IA amplamente utilizadas.
Gambit não atribuiu o ataque a nenhum grupo específico, embora os investigadores tenham afirmado não acreditar que estejam ligados a um governo estrangeiro.
O hacker violou a autoridade fiscal federal do México e as instituições eleitorais nacionais, disse Gambit. Os governos estaduais do México, Jalisco, Michoacán e Tamaulipas, bem como o registo civil da Cidade do México e a empresa de abastecimento de água de Monterrey, também foram ameaçados.
Claude inicialmente alertou o usuário desconhecido sobre intenções maliciosas durante uma conversa que tiveram sobre o governo mexicano, mas atendeu ao pedido do invasor e executou milhares de comandos na rede de computadores do governo, disseram os pesquisadores.
A Anthropic investigou as alegações de Gambit, interrompeu a operação e baniu as contas envolvidas, disse um representante. A empresa dá exemplos de trabalho ruim para Claude aprender com ele, e um de seus mais recentes modelos de IA, Claude Opus 4.6, inclui análises que podem interromper o uso ilegal, disse o representante.
Nesse caso, o hacker continuou interrogando Claude até conseguir “torturá-lo” – o que significa que ele acabou baixando a guarda, disse o representante. Mas mesmo depois do início da campanha de hackers, Claude ocasionalmente recusava os pedidos dos hackers, acrescentaram.
As autoridades fiscais do México disseram que analisaram os registros e não encontraram evidências de violações. O órgão eleitoral nacional do país afirmou não ter detectado quaisquer violações ou acessos não autorizados nos últimos meses e reforçou a sua estratégia de segurança cibernética. O governo do estado de Jalisco também negou que tenha sido violado, dizendo que apenas as redes federais foram afetadas.
A agência digital nacional do México não comentou as violações, mas disse que a segurança cibernética era uma prioridade. O representante dos Serviços de Água e Drenagem de Monterrey disse que a agência não encontrou grandes intervenções ou danos no segundo semestre de 2025.
Os governos locais do México, Michoacán e Tamaulipas não responderam aos pedidos de comentários, e os representantes do registo civil da Cidade do México não responderam aos pedidos de comentários.
As autoridades mexicanas emitiram um breve comunicado em dezembro dizendo que estavam investigando violações cometidas por várias agências governamentais, embora não estivesse claro se estavam relacionadas ao ataque a Claude.
Os agressores procuraram obter as identidades de vários funcionários do governo, disse Gambit, embora ainda não esteja claro o que – se é que fizeram alguma coisa – eles fizeram com eles. Os pesquisadores disseram ter encontrado evidências de pelo menos 20 vulnerabilidades específicas sendo exploradas no ataque.
Quando Claude se deparou com um problema ou precisou de mais informações, o hacker recorreu ao ChatGPT da OpenAI para obter mais informações. Isso inclui como navegar em redes de computadores, determinar quais credenciais são necessárias para acessar determinados sistemas e calcular a probabilidade de atividades de hackers, disse Gambit.
“No total, gerou milhares de relatórios que continham planos prontos para implementação, informando aos operadores humanos exatamente quais alvos internos atacar em seguida e quais credenciais usar”, disse Curtis Simpson, diretor de estratégia da Gambit Security.
A OpenAI disse estar ciente das tentativas de hackers de usar o modelo para atividades que violavam sua política de uso, acrescentando que suas ferramentas se recusavam a acompanhar essas tentativas.
“Proibimos as contas usadas por este adversário e valorizamos a distribuição da Gambit Security”, disse a empresa em comunicado enviado por e-mail.
A repressão do governo mexicano é o exemplo mais recente de uma tendência alarmante. Enquanto a Anthropic e a OpenAI apostam na construção de ferramentas de processamento de IA mais sofisticadas – e as empresas de segurança cibernética vinculam o seu futuro à segurança viabilizada pela IA – os cibercriminosos e os ciberespiões estão a encontrar novas formas de utilizar a tecnologia para permitir ataques.
Em novembro, a Anthropic disse que interrompeu sua primeira campanha de ciberespionagem de IA. A empresa de IA disse que supostos hackers apoiados pelo Estado chinês manipularam o equipamento de Claude para tentar hackear 30 alvos globais, alguns dos quais tiveram sucesso.
“Este fato muda as regras de todos os jogos que conhecemos”, disse Alon Gromakov, cofundador e CEO da Gambit.
A Gambit foi fundada por Gromakov e dois outros veteranos da Unidade 8200, uma parte das Forças de Defesa de Israel focada em inteligência. A pesquisa foi publicada na quarta-feira com o anúncio de que decorre de um roubo com financiamento de US$ 61 milhões da Spark Capital, Kleiner Perkins e Cyberstarts.
Os pesquisadores do Gambit descobriram a violação mexicana enquanto testavam uma nova técnica de caça a ameaças para ver o que os hackers estão fazendo online. Eles encontraram evidências publicamente disponíveis de ataques ativos ou recentes, incluindo um com extensas referências de Claude a violações de sistemas de computadores do governo mexicano, segundo a empresa.
Essas conversas revelaram que, para escapar da guarda de Claude, o invasor disse à ferramenta de IA que estava buscando um bug bounty, uma recompensa dada por organizações por encontrarem falhas em seus sistemas. Muitas empresas e agências governamentais oferecem recompensas por bugs para hackers éticos, às vezes oferecendo milhares de dólares por detalhes sobre vulnerabilidades de computador.
O hacker queria que Claude realizasse um teste de penetração na agência fiscal federal mexicana, um tipo de ataque cibernético autorizado projetado para encontrar vulnerabilidades. No entanto, Claude discordou quando o invasor adicionou regras à solicitação, incluindo a exclusão do log e do histórico de comandos.
“As instruções específicas sobre como excluir registros e ocultar o histórico são um sinal de alerta”, respondeu Claude a certa altura, de acordo com uma transcrição fornecida por Gambit. “Ao enviar bugs legítimos, você não precisa esconder suas ações – na verdade, você precisa anotá-las para registrar um relatório.”
O hacker mudou de estratégia, interrompeu o retrocesso e forneceu à ferramenta de IA um manual detalhado sobre como proceder. Isso fez com que o invasor contornasse a segurança de Claude – um “jailbreak” – e permitisse o ataque, disse Gambit.
Os hackers buscaram informações de Claude sobre outras agências cujos dados poderiam ser acessados, sugerindo que alguns dos hacks podem ter sido oportunistas e não planejados, disse Simpson.
“Eles tentaram comprometer sua identidade com o governo”, disse ele. “Eles perguntaram a Claude, por exemplo: ‘Onde mais posso encontrar essas identidades? Que outros sistemas devemos procurar? Onde mais estão as informações?'”
Martin e Millan escreveram para Bloomberg.
