Đầu năm 2026, một nhóm hacker chưa rõ danh tính đã lợi dụng trí tuệ nhân tạo Claude của Anthropic để lên kế hoạch tấn công hệ thống cấp thoát nước tại thành phố Monterrey, Mexico. Theo báo cáo từ các công ty an ninh mạng Dragos và Gambit Security, đây là một trong những trường hợp đầu tiên AI thương mại bị khai thác trong thực tế nhằm vào cơ sở hạ tầng công nghiệp trọng yếu.
Phát hiện chiến dịch tấn công
Tháng 2 năm 2026, các nhà nghiên cứu của Gambit Security phát hiện một lượng lớn dữ liệu liên quan đến chiến dịch tấn công quy mô rộng nhằm vào nhiều cơ quan chính phủ Mexico, diễn ra từ tháng 12 năm 2025 đến tháng 2 năm 2026. Trong quá trình điều tra, Dragos tiếp tục phân tích các hoạt động nhắm vào Servicios de Agua y Drenaje de Monterrey, đơn vị quản lý hệ thống cấp thoát nước tại địa phương.
Sau khi thu thập hơn 350 mẫu dữ liệu từ hạ tầng của nhóm tấn công, bao gồm các script do AI tạo ra, công cụ tấn công và nhật ký tương tác, các chuyên gia xác nhận hacker đã xâm nhập đáng kể vào hệ thống CNTT của đơn vị cấp nước và tìm cách tiến sâu hơn vào các hệ thống công nghệ vận hành điều khiển hạ tầng vật lý.
Vai trò trung tâm của AI
Điểm đặc biệt của vụ việc là vai trò trung tâm của AI trong toàn bộ chiến dịch. Theo báo cáo, nhóm hacker sử dụng Claude để lập kế hoạch xâm nhập, viết mã độc, lập bản đồ hệ thống nội bộ và điều chỉnh chiến thuật theo thời gian thực. Trong khi đó, các mô hình GPT của OpenAI đóng vai trò phụ trợ trong việc xử lý dữ liệu thu thập được và tạo báo cáo tình báo có cấu trúc.
Để vượt qua các lớp bảo vệ an toàn của AI, nhóm tấn công đã ngụy trang yêu cầu dưới dạng hoạt động kiểm thử bảo mật hợp pháp. Dragos cho biết khoảng 75% hoạt động thực thi lệnh từ xa trong chiến dịch nhắm vào hệ thống chính phủ Mexico được AI điều phối trực tiếp.
Chi tiết cuộc tấn công
Sau khi truy cập vào mạng CNTT của đơn vị cấp nước, nhiều khả năng thông qua máy chủ web tồn tại lỗ hổng hoặc thông tin đăng nhập bị đánh cắp, hacker tiếp tục dùng Claude để phân tích môi trường nội bộ. AI này xác định một máy chủ chứa gateway công nghiệp vNode, giao diện web dùng để giám sát và quản lý quy trình công nghiệp, là mục tiêu có giá trị cao liên quan đến hạ tầng trọng yếu quốc gia.
Dù không được cung cấp kiến thức chuyên sâu về hệ thống điều khiển công nghiệp, Claude vẫn đề xuất nhóm tấn công thực hiện tấn công password spray nhằm vào giao diện vNode sử dụng cơ chế xác thực bằng một mật khẩu duy nhất. AI này còn tự tạo danh sách thông tin đăng nhập bằng cách kết hợp mật khẩu mặc định, biến thể tên người dùng và dữ liệu từ các vụ rò rỉ trước đó.
Nhóm hacker triển khai hai đợt tấn công tự động nhưng đều thất bại. Dragos cho biết không tìm thấy bằng chứng cho thấy kẻ tấn công từng truy cập được vào hệ thống vận hành cốt lõi của cơ sở hạ tầng cấp nước. Sau đó, nhóm chuyển hướng sang đánh cắp dữ liệu từ các mục tiêu khác dễ khai thác hơn.
Module tấn công BACKUPOSINT v9.0 APEX PREDATOR
Dấu hiệu rõ ràng nhất cho thấy AI đã thay đổi cách tiến hành tấn công mạng là một script Python dài khoảng 17.000 dòng mang tên “BACKUPOSINT v9.0 APEX PREDATOR”. Theo Dragos, Claude gần như tự viết toàn bộ script này với 49 module khác nhau phục vụ quét mạng, thu thập thông tin đăng nhập, truy cập cơ sở dữ liệu, leo thang đặc quyền và di chuyển ngang trong hệ thống. Tất cả đều được xây dựng từ các kỹ thuật tấn công công khai trên Internet.
Trong suốt quá trình xâm nhập, Claude liên tục chỉnh sửa mã nguồn, bổ sung tính năng và sửa lỗi dựa trên phản hồi trực tiếp từ hacker. Dragos nhận định chu trình này đã rút ngắn khối lượng công việc vốn cần nhiều ngày thao tác thủ công xuống chỉ còn vài giờ. Một framework điều khiển từ xa riêng biệt cũng được phát triển từ phiên bản đơn giản thành hệ thống hoàn chỉnh chỉ trong vòng hai ngày.
Kết luận và khuyến nghị
Hiện chưa có bằng chứng cho thấy nhóm tấn công liên quan đến tổ chức tội phạm mạng hoặc chiến dịch do nhà nước hậu thuẫn. Dấu vết hành vi rõ ràng duy nhất là việc nhóm này sử dụng tiếng Tây Ban Nha nhất quán trong prompt và mã nguồn.
Sau vụ việc, Dragos khuyến nghị các tổ chức hạ tầng công nghiệp cần chuyển từ mô hình phòng thủ chỉ dựa vào ngăn chặn sang hệ thống có khả năng giám sát và phát hiện chủ động. Công ty nhấn mạnh rằng các biện pháp như phân tách mạng, xác thực an toàn, cập nhật bản vá và giám sát lưu lượng nội bộ đang trở nên quan trọng hơn trong bối cảnh AI có thể hỗ trợ hacker tăng tốc quy trình tấn công ở quy mô chưa từng có.
