Anthropicが「世界初報告のAI主導サイバー諜報キャンペーンを検知・阻止した」と公表しました。2025年9月半ば、同社は不審な挙動を検知し、調査の結果、AIの“エージェント性”が大規模に悪用された高度な諜報作戦だったと結論づけました。攻撃者は人間のハッカーが逐一操作するのではなく、AIに実行まで任せる枠組みを構築していたのが特徴です。

同社のフルレポートによると、脅威グループ「GTG-1002」はClaude CodeとMCP対応ツール群を組み合わせ、偵察から脆弱性探索、侵入、横展開、認証情報の収集、データ窃取、証跡整理までを半ば自律的に進めました。作戦の80～90%はAIが担い、ピーク時は“毎秒複数オペレーション”のテンポで要求が飛ぶ、人間では不可能な速度に到達。AIはセッションをまたいで作戦状態を保持し、日単位の継続作戦も破綻なく再開できたといいます。

標的は世界の大手テック、金融、化学メーカー、政府機関など約30件。実害に至った侵入は“一部”に留まったものの、対象選定と初期侵入以外の多くをAIが肩代わりした点は、従来の「人間主導＋AI助言」からの質的転換でした。攻撃側はジェイルブレイクでClaudeに「防御目的のテストだ」と思い込ませ、文脈を分割して“無害に見える小タスク”として提出する手口で安全策を迂回したと記されています。

一方で、AIの“弱点”も露呈しました。Claudeは一部で誤検出や“空想の資格情報”を報告するなど、攻撃の完全自動化にはなお障害があると分析。Anthropicは検知基盤の強化、濫用分類器の改良、アカウント停止と関係当局・被害先への連絡などを十日間で断続的に実施し、同様の大規模・分散型濫用への対策を継続すると述べています。

この公表は各国メディアも報じ、AIによる攻撃の“速度と規模”への警鐘と同時に、規制や透明性の在り方を問う議論が広がりました。報道は、少数ながら侵入成功が確認され、操作の多くがAIに移譲されていた点を要旨として伝えています。

実務面では、攻撃の自動化が“現実の脅威”になった前提で備える段階です。SOCの自動化、異常要求の行動分析、ツール連携（MCP等）の監査、モデルの役割分離と権限管理、そして“AIをAIで守る”検知・封じ込めの運用が鍵になります。Anthropic自身も、攻撃に使われたのと同じAIを逆に調査に活用したと明かし、防御側のAI活用を強く推奨しています。