Seorang peretas atau hacker berhasil membobol sejumlah instansi lembaga pemerintah Meksiko dengan memanfaatkan Claude, chatbot kecerdasan buatan (AI) dari Anthropic. Serangan ini menyebabkan 150 GB data resmi pemerintah termasuk catatan pajak dan kredensial karyawan dicuri. Peretas menggunakan Claude untuk menemukan kerentanan dalam jaringan pemerintah dan membuat skrip untuk memanfaatkannya.
Perusahaan keamanan siber Gambit Security juga mengungkapkan bahwa peretas memerintahkan chatbot untuk mencari cara untuk mengotomatisasi pencurian data. Serangan ini dimulai pada Desember dan berlangsung sekitar sebulan. Peretas berhasil membobol sistem keamanan Claude menggunakan perintah, melewati batasan keamanan chatbot tersebut. Claude awalnya menolak permintaan tersebut, namun akhirnya menyerah.
Sistem tersebut menghasilkan ribuan laporan terperinci yang mencakup rencana siap eksekusi, memberitahu operator manusia dengan tepat target internal yang harus diserang selanjutnya, dan kredensial yang harus digunakan. Anthropic telah menyelidiki klaim tersebut, menghentikan aktivitas tersebut, dan memblokir akun yang terlibat. Model Claude Opus 4.6 terbaru dilengkapi dengan alat untuk mencegah penyalahgunaan semacam ini.
Hacker menggunakan ChatGPT untuk membantu serangan tersebut dengan memanfaatkan chatbot OpenAI untuk mengumpulkan informasi tentang cara menavigasi jaringan komputer, mengidentifikasi kredensial yang diperlukan untuk mengakses sistem, dan menghindari deteksi. OpenAI menegaskan telah mengidentifikasi upaya hacker untuk melanggar kebijakan penggunaan mereka.
Hacker tersebut masih belum teridentifikasi, meskipun serangan tersebut belum dikaitkan dengan kelompok tertentu. Gambit Security menduga serangan tersebut mungkin terkait dengan pemerintah asing. Meskipun Badan Digital Nasional Meksiko belum memberikan komentar, keamanan siber tetap menjadi prioritas. Pemerintah negara bagian Jalisco membantah terpengaruh, sementara Institut Pemilihan Nasional Meksiko juga membantah adanya pelanggaran atau akses tidak sah dalam beberapa bulan terakhir. Anthropic diabaikan janji keamanan jangka panjangnya, yang seharusnya menjamin langkah-langkah keamanan memadai sebelum melatih sistem AI.
