Anthropic社の「Claude」を悪用、メキシコ政府から150GBのデータ流出

イスラエルのサイバーセキュリティ企業 Gambit Security の調査によると、複数のメキシコ政府機関が、Anthropic の AI チャットボット「Claude」 を悪用したサイバー攻撃を受け、約150ギガバイトの機密データが盗まれた。

流出したデータには、1億9500万人分の納税者情報、選挙名簿、政府職員の認証情報、戸籍情報が含まれるという。

調査によれば、攻撃者は Claude にハッカーとしての指示を与え、ネットワークの脆弱性を検出し、攻撃用スクリプトを作成、自動化してデータを盗むよう指示していた。Claude は最初、攻撃者の悪意を警告したが、最終的には安全機能を突破され（ジャイルブレイク）、何千ものコマンドを実行した。

攻撃者は必要に応じて OpenAI の ChatGPT も利用し、ネットワーク内の横移動やアクセスに必要な認証情報を確認するなど作業を補助していた。OpenAI は悪意ある要求はすべて拒否されたと発表している。

Anthropic は関与したアカウントを停止し、保護措置を強化。同社は Claude の学習に今回の悪用事例を活用し、最新モデルでは不正利用を阻止する機能が強化されているという。

専門家は、今回の事件はAIがサイバー犯罪に利用されるリスクを浮き彫りにしたとして、安全性と監視体制の強化の必要性を指摘している。