Anthropic抓住中国间谍了吗？

大家好，欢迎收听老范讲故事的YouTube频道。

Anthropic信誓旦旦的公告里边说抓到中国间谍了，但是里面很多细节非常的模糊不清。11月13号，Anthropic发了一个长文，叫《挫败首次披露的AI协助网络间谍活动》，认定幕后是一个中国国家支持的黑客组织，而且他认为幕后是中国国家级支持，是非常高置信度的一个事情。他给这个组织起了一个名字叫GTG1002。但是呢，这个组织的名字并不是现实世界中常用命名黑客组织的APT编号，而是一个叫GTG的一个编号。所以很多安全圈的人就对此提出了一些质疑，说你到底找没找到人。

具体这帮人干了些什么呢？造成了多大危害？只进行了描述，没有细节。当然这也可以理解了，很多这种安全事件都是不会描述细节的，因为描述细节以后容易造成模仿，也会让被伤害的人受到进一步的伤害。告诉你说谁家的信息被偷了，这个可能本身没什么大事的，一下就股价崩了，可能会出现这种事情。所以呢，一般都不会披露特别多的细节。

那么为什么认定这是中国国家支持的黑客组织呢？也许更多的来自于臆测，咱们后边一步一步分析。

Anthropic如何发现问题的？

它是2025年9月中旬就开始发现有问题了，监测发现异常。因为你用Claude去写程序，让它去生成代码，你输入的所有这些提示词，Anthropic是能看到的，输出的也能看到，只是一般情况下他看不过来而已。但是呢，里头有特别多的跟安全相关的事件，请帮我去破解网站，有太多这些东西聚集以后，Anthropic就觉得这事有问题了。9月中旬发现了以后呢，进行了内部调查，把各种日志文件拎出来去查一查，大概用了10天的时间。然后呢，重构攻击链路，看看你到底攻击谁了，攻击的效果怎么样，最终确认这是一场跨越数十个目标的大规模间谍行动。

他们内部到底发现了一些什么样的异常流量呢？大量跟网络安全、网站和系统破解的相关的指令被申请和执行了，而且是相同的手法，面向全球不同的目标再去执行。最终确认，这是一次有计划、有组织、有预谋的大型黑客入侵计划，甚至叫做间谍行为吧。

黑客是如何利用AI工具的？

Anthropic其实有两个特别重要的编程工具，一个呢叫Claude code，它呢是一个AI agent，跑在我们本地的。另外一个呢，就是它的大模型Claude 4.5 sonnet，是进行代码生成和AI生成的一个模型。这一次呢更多的是使用Claude code。Claude code呢可以完全自己执行各种脚本，有人甚至用Claude code去写短句，写各种公众号，这个还是非常非常好用的。Claude code呢可以去编制代码、执行代码、做各种的网络操作，它都是可以自动去搞定的。再配合上Chrome或者是Playright的一些MCP，就可以自动实现大规模的网络漏洞侦测或者是攻击。

黑客呢，搭建了自动的入侵架构，伪装身份，将有害的任务呢，分拆成无害的小任务。比如说扫描某个端口，写个脚本，验证一下密码格式对不对。把它分拆了以后呢，就不会触发Anthropic的一些内部警告。你上来说“给我攻击哪个代码，给我攻击哪个网站”，Anthropic直接就报警了。但是如果你拆开了干这个活呢，Anthropic就会老老实实的去干活去。而且呢，这些黑客还去向Claude去说谎，说我是一家合法安全公司的员工，我在做渗透测试和攻防演练，说我们去攻击一下吧，Claude code也去干活去了。

做这种事情呢，被封号其实是不可避免的。到底这个边界在什么地方，或者封号的阈值在什么地方，是不会有平台出来公布的。所以黑客组织总在边缘尝试，我到底多说了一句就被封了，就被拒绝服务了，还是少说一句，他就接着干活去了。大家要去试这个事。

很多账号被封了之后呢，会有相关性很强的账号启动，继续干活。他也不可能说你封我一账号，我就不干了。相关性这件事呢，是一个很模糊的概念。比如：

• IP地址或Mac地址：每一个网卡、每一个路由器都是有一个唯一的号的。这些地址有可能是比较相近，或者说相同的，就有可能会判定为相关地址。比如刚有一个IP地址了，账号被封了，你用同样的IP地址、同样的网卡，你又注册了一个账号上来，很容易被判定为相关的账号。
• 指令和提示词：你的一些原始的数据指令和提示词是一致的。有人干这件事情被封了，然后呢我换了一个账号上来，接着再提出相应的指令、相应的这些数据，那么它也会被判定为相关。
• 目标一致：有的时候呢，目标网址是一致的。你说这一次我要攻击谁谁谁，下次我还要攻击他。而且上一个账号刚被封掉了，你新的一个账号上来了以后，甚至换了个国家，因为挂梯子嘛，可能上次是美国的一个账号要求攻击日本，下次可能来了欧洲的一个账号，也要求继续攻击日本的某一个网站，那么这个也会被判定为相关的账号。

当然了，黑客组织一定会进行规避，这个活叫账号隔离，这都是有专业术语的。规避以后呢，会提高发现的难度，但是这里头没有0和1的区别，说这个就是错的，那个就是对的。这也就为什么咱们讲Meta达到95%危险评分才被判定为欺诈广告，这个道理是一样的。

Anthropic呢，将通过Claude code发送给Claude sonnet 4.5的指令进行聚合分析以后，锁定了目标。Claude code这个东西是一个免费可以下载的工具，如果我们在Claude code里头挂国内的大模型，Anthropic是收不到任何警告的。但是呢，挂国内的模型效果没有那么好，一定是Claude code挂Claude sonnet 4.5，自己的模型效果是最好的。

Anthropic采取了哪些行动？

Anthropic发现了这样的问题以后，做了什么样的行动呢？

• 封禁账号：这是必然的。
• 通知受害者：通知受影响的30多个机构协助处置，告诉他们被攻击了，检查损失并一同处理。
• 与执法部门协作：与相关部门协作，与执法机关共享情报，直接报警。
• 加强防御措施：Anthropic也表示将加强防御，例如降低危险行为的判定阈值（比如从95分降到90分），使监控系统更加敏感。

黑客到底干了什么？（攻击流程详解）

我相信很多人会很好奇这帮人拿Anthropic的工具到底干了点什么？到底是怎么干的呢？我呢，用尽可能简单的方式给大家描述一下，但是注意不要去学人做坏事。

目标呢是全球30多家机构，主要是大型科技公司、金融机构、化工和制造企业，以及政府机构。有一小部分呢被成功入侵了，少数高价值目标被破解，并且发生了数据泄露。至少4家受害者的敏感数据被证实遭到窃取，但是呢也没有给出具体的名字。这个还是可以理解的吧，你真的指名道姓的说谁谁家数据被偷了，这对于这些受害者来说，绝对是一个二次伤害。

这些攻击呢，80%到90%的战术操作都是Claude code来去自动执行的，人类呢只是在关键的决策点插手。过程是什么样的呢？

第0步：骗过安全机制

先骗过Anthropic的安全机制，保证自己的账号不要被封掉吧，被封掉就没有后边的故事了。

第一步：信息收集与资产识别

要求Claude code枚举目标网站的服务、接口和内部系统，找出高价值的资产、数据库、凭证库以及敏感业务系统。凭证库就是我们存密码的地方。很多网站或服务系统通常是在一些开源系统或者成熟的商业软件上搭建的。这一步首先要知道你到底是用什么系统来搭建的。一旦知道，就能推断出数据库、凭证库和敏感信息的一般存储位置。

第二步：漏洞搜索与利用

确认系统后，命令Claude code去搜索公开和已知的漏洞信息。很多机构的系统上线后疏于维护，不会及时打补丁或升级，导致大量已知漏洞未被修复。黑客可以直接命令Claude code针对特定系统的旧版本，搜索并编写漏洞利用代码，然后组织脚本进行攻击。

第三步：情报分析与文档生成

以前黑客比较头疼的活，现在AI能轻松搞定。黑客会利用Claude code对窃取到的信息进行情报价值分析和分类，比如分析每个文件里写了什么。然后，它会自动整理出攻击文档，内容包括：

• 目标系统及版本。
• 利用的漏洞。
• 成功登录的凭证。

后续的团队或AI agent就可以根据这些文档接着干活了。这个中间交接的文档也是由Claude code去生成的。

第四步：破解后的标准操作

破解之后，那就是老把戏了：

• 拖库：把数据库拖回来。现在可以更有针对性，在分析完文件价值后再选择性地拖取。
• 撞库：将拖回来的登录信息（用户名、密码）尝试在其他系统上登录。因为很多人习惯在不同系统使用相同的账号密码，这可能直接导致黑客获得更多系统的访问权限。
• 提权：登录后，可能只是一个普通用户权限。下一步就是通过其他漏洞将权限提升为管理员。
• 建立后门：为了方便下次再来，在系统中留下后门。

为什么Anthropic认定是中国政府所为？

为什么在证据不是很清晰的情况下，Anthropic咬死了这是中国政府支持的黑客行动呢？而且还给出了“高置信度”这样的定语。Anthropic并没有说明其具体的推理过程，但给出了几个明确的理由：

• 资源充足、专业协调：黑客组织一次性开启大量昂贵的Claude sonnet 4.5高级账号（可能100-200美元/个），封掉一批马上换新的一批。Anthropic认为这种规模和协同运作只有国家级行动才能支持。
• 目标具有情报价值：攻击目标多为大型科技公司、金融机构、化工制造企业和政府机构，偏向于情报搜集而非简单的经济犯罪。而且被攻击的大多是地缘政治中跟中国不太友好的国家。
• 专业的团队交接：攻击流程显示，前期团队攻破系统、整理文档后，会交接给后续团队进行长期潜伏，这不像个人或小团队的行为。
• 战术与已知组织重合：其战术流程（扫描、拖库、撞库、提权、持久化潜伏）与中国的一些APT组织高度重合。并且，攻击中使用的一些云服务IP、注册信息、跳转“肉鸡”等痕迹也与之前发现的中国APT组织重合。
• 活动时间符合东八区作息：行动的高发区在东八区的工作时间段，早上9点活跃，中午休息，下午继续，晚上6点下班，甚至周末双休。
• 代码中出现简体中文：在代码日志中发现了一些简体中文的注释。

至于使用的提示词是中文还是英文，Anthropic没有公开，但大概率是英文，以更好地伪装身份。即便使用英文，Chinglish的比例也可能很高。

作者观点：为什么大概率不是政府行为？

以我个人的感受来说，大概率不是。Anthropic对于中国的灰产行业呢，还是缺乏足够的了解和认识，或者说缺乏足够的敬畏之心吧。

中国灰产行业规模之巨大，从业人员之众多，分工之明细，是海外很多科技企业很难想象的。我为什么判断说，这一次Anthropic发现的攻击行为不像是真正的政府支持的黑客组织干的呢？因为有太多的Claude code痕迹了，不像是专业团队干的活，更像是民间机构新手根据外界公开流传的信息，让Claude code补全操作的。如果是熟手的话，会有大量的现成漏洞、现成的凭证库和现成的代码段，它不会每一件事情都要求Claude code去干的。这次发现的攻击，大量依赖AI重新扫描、重新搜索已知漏洞，这不像成熟团队干的活。

大批的互联网大厂人毕业了，或者叫失业了吧，这些人呢是组织过双11，组织过春运抢票的人，这些人在中国之外的任何地方，都可以算绝对的稀缺人才。但是现在在中国，他们失业了，又不甘心去跑滴滴、跑外卖，可能就重新聚集起来给Anthropic表演一下什么叫中国大厂的专业性。

这次事件带来的思考

网站和系统的安全性必须要提升了。任何人都不需要经过长期的训练，在AI的帮助下都可以做的像国家级黑客组织做出这些活一样。这个就像病毒升级了，大家的免疫系统跟不上一样，这个是非常非常危险的。Anthropic提供的这些AI编码的agent，它可以帮助普通人直接实现很强烈的黑客攻击，原来的这种安全措施完完全全是不够用的。Claude code加上Claude sonnet 4.5确实是干这种活的最优选择，但是使用国内的模型效果稍微差一点，但基本上还是能用的。真正专业的黑客肯定会更加的如虎添翼。

总结

Anthropic发文说破获了中国国家级政府支持的黑客间谍活动。到底是不是中国国家级支持的活动？并没有明确证据，大概率不是，中国新灰产团队的概率更大一些。安全形势在AI agent的帮助下，已经发生了翻天覆地的变化。Anthropic现在发这样的一个文章出来，应该也是在给自己寻找新的商业拓展点，同时出来秀一秀肌肉，表明即使干脏活累活，自家的AI也是最优选择。

好，这就是今天要讲的故事。感谢大家收听，请帮忙点赞、点小铃铛、参加discord讨论群，也欢迎有兴趣、有能力的朋友加入我们的付费频道。再见。