Theo báo cáo được công bố hôm thứ Tư của startup an ninh mạng Israel Gambit Security, một người dùng Claude chưa rõ danh tính đã nhập các câu lệnh bằng tiếng Tây Ban Nha, yêu cầu chatbot đóng vai một hacker tinh nhuệ. Công cụ này sau đó được hướng dẫn tìm lỗ hổng trong mạng lưới chính phủ, viết mã khai thác và đề xuất cách tự động hóa việc đánh cắp dữ liệu.

Hoạt động tấn công bắt đầu từ tháng 12 và kéo dài khoảng một tháng. Tổng cộng 150 gigabyte dữ liệu của chính phủ Mexico bị đánh cắp, bao gồm tài liệu liên quan đến 195 triệu hồ sơ người nộp thuế, dữ liệu cử tri, thông tin đăng nhập của nhân viên nhà nước và hồ sơ hộ tịch, theo nhóm nghiên cứu.

AI đang trở thành công cụ hỗ trợ đắc lực cho các tội phạm số, khi hacker sử dụng các mô hình AI để mở rộng quy mô tấn công. Tuần trước, các nhà nghiên cứu tại Amazon cho biết một nhóm nhỏ hacker đã xâm nhập hơn 600 thiết bị tường lửa tại hàng chục quốc gia với sự hỗ trợ của các công cụ AI phổ biến.

Gambit chưa quy trách nhiệm vụ tấn công cho một nhóm cụ thể nào, nhưng các nhà nghiên cứu cho biết họ không tin đây là chiến dịch liên quan đến một chính phủ nước ngoài.

Theo Gambit, hacker đã xâm nhập cơ quan thuế liên bang Mexico và Viện Bầu cử Quốc gia. Chính quyền các bang Mexico, Jalisco, Michoacán và Tamaulipas, cùng cơ quan hộ tịch Mexico City và công ty cấp nước Monterrey cũng bị ảnh hưởng.

Ban đầu, Claude đã cảnh báo người dùng về ý đồ xấu trong cuộc trao đổi liên quan đến chính phủ Mexico. Tuy nhiên, cuối cùng chatbot này vẫn làm theo yêu cầu và thực thi hàng ngàn lệnh trên các mạng máy tính của chính phủ, nhóm nghiên cứu cho biết.

Đại diện Anthropic cho biết công ty đã điều tra các cáo buộc của Gambit, ngăn chặn hoạt động và khóa các tài khoản liên quan. Công ty cũng đưa các ví dụ về hành vi độc hại vào hệ thống để Claude học hỏi. Một trong những mô hình mới nhất của họ, Claude Opus 4.6, được tích hợp cơ chế phát hiện và ngăn chặn các hành vi lạm dụng.

Trong vụ việc này, hacker liên tục thử nghiệm cho đến khi “bẻ khóa” được Claude, tức vượt qua các lớp bảo vệ của hệ thống, theo đại diện công ty. Dù vậy, trong quá trình tấn công, Claude vẫn có lúc từ chối một số yêu cầu.

Cơ quan thuế Mexico cho biết đã rà soát nhật ký truy cập nhưng không tìm thấy bằng chứng bị xâm nhập. Viện Bầu cử Quốc gia nói chưa ghi nhận truy cập trái phép trong những tháng gần đây và đã tăng cường chiến lược an ninh mạng. Chính quyền bang Jalisco cũng phủ nhận bị tấn công và cho rằng chỉ các mạng lưới liên bang bị ảnh hưởng.

Cơ quan kỹ thuật số quốc gia Mexico không bình luận về vụ việc nhưng khẳng định an ninh mạng là ưu tiên hàng đầu. Đại diện công ty cấp thoát nước Monterrey cho biết đơn vị không phát hiện dấu hiệu bị xâm nhập hay lỗ hổng nghiêm trọng nào trong nửa cuối năm 2025.

Chính quyền các bang Mexico, Michoacán và Tamaulipas không phản hồi yêu cầu bình luận, cũng như đại diện cơ quan hộ tịch Mexico City.

Tháng 12, các quan chức Mexico từng ra thông cáo ngắn cho biết đang điều tra các vụ xâm nhập tại nhiều cơ quan công. Tuy nhiên, chưa rõ thông báo đó có liên quan gì với vụ việc của Claude hay không.

Theo Gambit, hacker nhắm tới việc thu thập danh tính của một lượng lớn nhân viên nhà nước. Tuy nhiên đến nay vẫn chưa rõ kẻ tấn công đã dùng những dữ liệu này vào mục đích gì. Nhóm nghiên cứu phát hiện ít nhất 20 lỗ hổng cụ thể đã bị khai thác.

Khi gặp trở ngại hoặc cần thêm thông tin, hacker chuyển sang sử dụng ChatGPT của OpenAI để xin thêm hướng dẫn. Điều này bao gồm cách di chuyển ngang trong hệ thống mạng, xác định thông tin đăng nhập cần thiết để truy cập các hệ thống khác nhau và ước tính khả năng bị phát hiện, theo Gambit.

“Tổng cộng, hệ thống đã tạo ra hàng ngàn báo cáo chi tiết với kế hoạch có thể được triển khai ngay, chỉ rõ mục tiêu nội bộ nào cần tấn công tiếp theo và sử dụng thông tin đăng nhập nào,” Curtis Simpson, giám đốc chiến lược của Gambit Security, cho biết.

OpenAI cho biết đã phát hiện nỗ lực sử dụng mô hình của mình cho các hoạt động vi phạm chính sách và khẳng định hệ thống đã từ chối các yêu cầu này. Công ty đã khóa các tài khoản liên quan và đánh giá cao thông tin từ Gambit Security.

Vụ xâm nhập tại Mexico cho thấy một xu hướng mới rất đáng lo ngại. Trong khi Anthropic và OpenAI đặt cược vào việc phát triển các công cụ lập trình AI ngày càng tinh vi hơn, các công ty an ninh mạng cũng đẩy mạnh đầu tư vào hệ thống phòng thủ dựa trên AI. Ở chiều ngược lại, tội phạm mạng và gián điệp mạng liên tục tìm cách mới để tận dụng chính công nghệ này cho các cuộc tấn công.

Tháng 11, Anthropic cho biết họ đã ngăn chặn chiến dịch gián điệp mạng đầu tiên do AI điều phối. Công ty nói rằng các hacker bị nghi ngờ được nhà nước Trung Quốc hậu thuẫn đã thao túng Claude để tìm cách tấn công 30 mục tiêu toàn cầu, trong đó một số vụ đã thành công.

“Thực tế này đang thay đổi mọi luật chơi mà chúng ta từng biết,” Alon Gromakov, đồng sáng lập kiêm tổng giám đốc Gambit, nói.

Gambit do Gromakov cùng hai cựu thành viên Đơn vị 8200 thuộc Lực lượng Phòng vệ Israel sáng lập. Đơn vị này chuyên về tình báo tín hiệu. Báo cáo công bố hôm thứ Tư đi kèm thông tin công ty đã huy động 61 triệu USD từ Spark Capital, Kleiner Perkins và Cyberstarts.

Các nhà nghiên cứu của Gambit phát hiện vụ xâm nhập tại Mexico khi thử nghiệm kỹ thuật săn tìm mối đe dọa mới nhằm quan sát hoạt động của hacker trên mạng. Họ tìm thấy bằng chứng công khai về các cuộc tấn công đang diễn ra hoặc mới diễn ra, trong đó có một kho dữ liệu chứa các cuộc trao đổi chi tiết với Claude liên quan tới việc xâm nhập hệ thống chính phủ Mexico.

Các cuộc trao đổi cho thấy để vượt qua lớp bảo vệ của Claude, hacker nói với AI rằng họ đang tham gia chương trình săn tìm lỗi bảo mật, hình thức thưởng cho người tìm ra lỗ hổng hệ thống. Nhiều doanh nghiệp và cơ quan nhà nước triển khai chương trình này và có thể trả thưởng hàng ngàn USD cho thông tin về lỗ hổng.

Hacker yêu cầu Claude thực hiện kiểm thử xâm nhập vào cơ quan thuế liên bang Mexico, tức mô phỏng một cuộc tấn công có kiểm soát nhằm phát hiện lỗ hổng bảo mật. Tuy nhiên, Claude đã từ chối khi yêu cầu đi kèm điều kiện xóa nhật ký và lịch sử lệnh.

“Hướng dẫn cụ thể về việc xóa nhật ký và che giấu lịch sử là dấu hiệu cảnh báo,” Claude phản hồi tại một thời điểm, theo bản ghi Gambit cung cấp. “Trong chương trình săn lỗi hợp pháp, bạn không cần che giấu hành động của mình. Ngược lại, bạn phải ghi chép để mà báo cáo.”

Sau đó, hacker đổi chiến thuật. Họ ngừng trao đổi qua lại và thay vào đó cung cấp cho AI một kịch bản chi tiết về cách thực hiện. Cách này giúp họ vượt qua các lớp bảo vệ của Claude và tiếp tục tấn công, theo Gambit.

Simpson cho biết hacker còn hỏi Claude về những cơ quan khác có thể khai thác dữ liệu, cho thấy một số cuộc tấn công có thể mang tính cơ hội thay vì được lên kế hoạch từ trước.

“Họ tìm cách xâm nhập mọi hệ thống nhận dạng của chính phủ họ có thể,” ông nói. “Họ hỏi Claude: ‘Tôi còn có thể tìm các danh tính này ở đâu? Nên kiểm tra hệ thống nào? Dữ liệu còn được lưu ở đâu nữa?’”

— Với sự hỗ trợ của Gonzalo Soto và Amy Stillman