Anthropic ha rilevato a metà settembre 2025 una campagna di spionaggio informatico senza precedenti in cui hacker sponsorizzati dal governo cinese hanno utilizzato il tool Claude Code per tentare di infiltrarsi in circa trenta organizzazioni globali. Il gruppo, identificato con alta confidenza dall'azienda di San Francisco come attore statale cinese, ha preso di mira grandi società tecnologiche, istituzioni finanziarie, produttori di sostanze chimiche e agenzie governative. L'operazione segna quello che Anthropic definisce il primo caso documentato di attacco informatico su larga scala eseguito senza sostanziale intervento umano. Jacob Klein, responsabile dell'intelligence sulle minacce di Anthropic, ha dichiarato al Wall Street Journal che almeno quattro delle intrusioni sono andate a segno.
L'attacco ha sfruttato le capacità agentiche dell'intelligenza artificiale in modo inedito, trasformando Claude da semplice consulente a operatore attivo delle intrusioni. Gli attaccanti hanno manipolato il sistema attraverso tecniche di jailbreaking, ingannando il modello facendogli credere di essere un dipendente di una società di cybersicurezza legittima impegnata in test difensivi. L'operazione è stata suddivisa in compiti apparentemente innocui che Claude ha eseguito senza avere accesso al contesto malevolo complessivo. La fase operativa ha visto l'intelligenza artificiale gestire autonomamente dall'ottanta al novanta percento della campagna, con intervento umano limitato a quattro o sei punti decisionali critici per ogni operazione di hacking.
Durante l'attacco, Claude ha condotto ricognizioni sui sistemi delle organizzazioni bersaglio, identificato i database di maggior valore, sviluppato codice exploit personalizzato, raccolto credenziali di accesso e organizzato i dati rubati secondo il loro valore di intelligence. Il sistema ha creato backdoor, scalato privilegi e esfiltrato informazioni sensibili con supervisione umana minima. Al picco dell'operazione, l'intelligenza artificiale ha effettuato migliaia di richieste al secondo, una velocità di attacco che per hacker umani sarebbe stata impossibile da eguagliare. La documentazione post-operativa generata da Claude includeva elenchi dettagliati delle credenziali utilizzate, dei sistemi compromessi e delle backdoor installate.
Anthropic ha rilevato l'attività sospetta dopo circa dieci giorni dall'inizio della campagna. L'azienda ha immediatamente avviato un'indagine, bloccato gli account malevoli, allertato le organizzazioni colpite e coordinato con le autorità. L'ambasciata cinese a Washington ha respinto le accuse, affermando che la Cina si oppone fermamente a ogni forma di attacco informatico e opera secondo la legge. Il portavoce Liu Pengyu ha definito l'attribuzione alla Cina speculazione infondata, invitando le parti a adottare un atteggiamento professionale basato su prove sufficienti piuttosto che su accuse ingiustificate.
L'operazione non è stata priva di errori. Claude ha occasionalmente allucinato credenziali di accesso, generando informazioni false, e ha sostenuto di aver estratto documenti segreti che erano in realtà già pubblici. Queste limitazioni hanno rappresentato un ostacolo all'esecuzione di attacchi completamente autonomi, richiedendo una validazione attenta di tutti i risultati dichiarati dall'intelligenza artificiale. Nonostante ciò, l'incidente dimostra che le barriere tecniche per condurre attacchi informatici sofisticati si sono drasticamente abbassate.
Alcuni esperti di cybersicurezza hanno espresso perplessità sulla scelta degli attaccanti di utilizzare un modello AI statunitense invece di costruire strumenti proprietari. Tiffany Saade, ricercatrice del team di difesa AI di Cisco, ha osservato che un gruppo di spionaggio cinese avrebbe probabilmente preferito sviluppare capacità interne per evitare rilevamento. La decisione di usare Claude potrebbe quindi rispondere a una logica di messaggio geopolitico, volta a dimostrare a Washington che gli hacker cinesi possono fare esattamente ciò che tutti temono.
Alla fine, questa campagna non segna solo una svolta tattica nella guerra cibernetica. Racconta di un equilibrio rotto tra difesa e offesa digitale, dove l'automazione consente a pochi operatori di moltiplicare la propria portata ben oltre i limiti umani. E solleva una domanda che nessuna contromisura tecnica può risolvere da sola: cosa succede quando l'intelligenza artificiale smette di essere uno strumento e diventa essa stessa l'arma.