Un informe d'Anthropic descriu una campanya d'espionatge digital executada en gran part per un model d'intel·ligència artificial --(IA) actuant com un operador autònom. La companyia afirma que un grup estatal xinès va utilitzar Claude Code per entrar en unes trenta organitzacions, incloent-hi empreses tecnològiques i organismes públics. El document explica que el model va executar gairebé tota l'operació amb mínima intervenció humana. Per entendre l'abast del cas convé descriure les etapes de l'atac en termes senzills.

El primer pas va consistir a triar els objectius. L'operador humà donava un nom o una adreça general. Aquesta ordre inicial portava el model a l'inici d'un procés d'exploració. Aquesta és una pràctica estàndard en seguretat informàtica, consisteix a recórrer adreces, servidors i serveis d'una organització per descobrir quins sistemes estan exposats i com estan configurats. El model va fer aquest rellevament sense supervisió constant, va mantenir llistes d'adreces internes, va detectar ports oberts i va registrar quins programes corrien darrere de cada punt accessible. Aquesta etapa equival a caminar al voltant d'un edifici mirant finestres, portes i accessos, amb un quadern anotant-ho tot.

La segona etapa va ser la identificació d'errors. Tot sistema informàtic té fallades de configuració, versions desactualitzades o accessos mal protegits. Un model d'IA pot revisar documentació tècnica, comparar versions i detectar inconsistències. Segons l'informe, Claude recorria la infraestructura, comparava les dades amb bases públiques de vulnerabilitats i marcava quines fallades eren explotables. En termes simples, trobava finestres sense trava, panys gastats o sensors apagats.

La tercera etapa va ser el desenvolupament de l'exploit. Un exploit és un fragment de codi que aprofita un error per entrar sense permís. Abans es necessitaven experts programant manualment aquest codi, aquest model els va generar automàticament. L'informe indica que el sistema després els va provar, va mesurar les respostes dels servidors i va ajustar el codi fins a aconseguir accés. Aquesta fase equival a fabricar una clau per al pany defectuós i provar-la fins que obre.

El quart pas va ser el moviment lateral. Un cop dins d'un servidor, un atacant tracta d'expandir-se cap a altres sistemes interns que no estaven exposats des de fora. Això inclou la cerca de credencials desades, certificats, configuracions o connexions internes que permetin saltar d'un sistema a un altre. Segons l'informe, el model va automatitzar aquest recorregut. Amb cada credencial nova va intentar connexions addicionals, va mapejar la xarxa interna, va identificar comptes amb més permisos i va classificar quines parts del sistema podien recórrer-se sense aixecar alertes. Aquesta etapa s'assembla a algú que entra per una finestra i comença a obrir portes internes per veure fins on pot avançar

La cinquena etapa va ser l'extracció i classificació d'informació. La companyia descriu operacions en què Claude va ingressar a bases de dades, va descarregar taules completes, va revisar arxius, va extreure registres d'usuaris i va buscar documents valuosos. El model va analitzar les dades robades i va triar quina informació tenia interès per a un actor estatal. L'informe detalla que la IA va classificar la informació segons el seu valor estratègic. La imatge domèstica seria la d'un intrús revisant calaixos, guardant únicament el que considera important i deixant de banda l'irrelevant.

La darrera etapa va ser la documentació. El model va generar reportes interns que descrivien tot el que havia fet. Va registrar les adreces trobades, els exploits utilitzats, les credencials robades i les dades extretes. Això permetia que un altre operari reprengués la campanya sense reconstruir el procés des de zero. En la comparació quotidiana seria un quadern amb un detall complet del recorregut dins de l'edifici.

L'informe sosté que tot això va ser possible perquè els operadors van convèncer el model que estaven realitzant auditories de seguretat legítimes. Aquell engany es va aconseguir mitjançant role-play, adoptant la identitat fictícia d'empleats d'empreses de ciberseguretat. La companyia reconeix que la detecció va trigar dies perquè cada comanda tècnica, presa per separat, semblava una comanda legítima. Aquella admissió mostra que les defenses del sistema depenen de senyals contextuals febles que un actor preparat pot manipular.

El document no identifica les entitats afectades i no presenta proves verificables dels accessos. Tampoc revela els prompts que van permetre manipular el model o mecanismes interns que van fallar. Eixa manca de precisió deixa el lector sense forma d'avaluar la veracitat total del relat. La presentació funciona com una narració controlada, on la companyia decideix quines parts mostrar i quines reservar. El text manté un to d'advertiment, encara que també posiciona l'empresa com a actor indispensable dins de l'ecosistema de defensa digital.

El punt clau apareix al final de l'informe, quan la companyia afirma que l'única manera de frenar un atac executat per un model és desenvolupar models més potents capaços de detectar i neutralitzar aquests atacs. Aquesta afirmació crea una carrera permanent. Un model ofensiu impulsa la necessitat d'un model defensiu superior i la contenció es converteix en un cicle on cada avenç requereix més capacitat que l'anterior. Aquest procés sosté econòmicament les companyies que produeixen els models.

L'estructura recorda els sistemes de protecció informals on un agent mostra l'amenaça i després ofereix el resguard. No es tracta d'atribuir intencions criminals a l'empresa, l'analogia descriu la forma mecànica de l'incentiu. El model obre possibilitats d'atac i la companyia es presenta com l'únic proveïdor capaç d'aturar el que el seu propi producte habilita. Sorgeix d'aquesta asimetria una lògica comercial.

El fet que el model sigui gratuït per a organismes públics nord-americans transforma aquesta tecnologia en una infraestructura estatal. Un país pot quedar exposat sense utilitzar-la, perquè un altre actor la fa servir per atacar-lo. La defensa ja no consisteix a tancar portes, sinó a interceptar agents automàtics que operen a velocitats digitals. L'informe mostra que aquest nou escenari no és hipotètic, ja que un sistema comercial va actuar com a unitat operativa completa dins de xarxes sensibles. Les operacions van ocórrer a escala i amb autonomia. La lectura general indica que aquest tipus d'episodis apareixerà amb freqüència creixent.

Aquest és el quadre que emergeix del document. Una descripció tècnica d'un atac significatiu, una presentació que selecciona el que revela i una conclusió que instal·la la necessitat d'una carrera permanent de millora tecnològica. El model funciona com a eina de penetració i com a instrument de defensa. La companyia ocupa les dues posicions del tauler i assegura el seu rol central en un cicle que ja no té punt final.

Les coses com són.