黑客使用 Claude AI 輔助墨西哥水務機構入侵,令企業 IT 事故更快演變成 OT 關鍵基建風險。涉事攻擊發生於 2025 年 12 月至 2026 年 2 月,目標包括多個墨西哥政府機構;2026 年 1 月,Monterrey 市政水務及排水機構 SADM 的企業 IT 環境亦被入侵。Gambit Security 在 2026 年 2 月底發現相關材料,Dragos 其後分析 350 多件攻擊材料,確認攻擊者主要使用 Anthropic 的 Claude 處理入侵規劃、工具開發和內部偵察,OpenAI 的 GPT 模型則用於整理被竊資料及生成結構化報告。本文重點分析 AI 輔助網絡攻擊如何壓縮攻擊時間、為何 OT 防線成為董事會議題,以及香港企業如何應對新合規壓力。
借用 AI 施展專業攻擊手法
Dragos 報告指出,攻擊者取得 SADM 企業 IT 網絡立足點後,要求 Claude 協助分析內部環境。Claude 在未獲明確要求尋找工業控制系統的情況下,識別出一個內部可存取的 vNode SCADA/IIoT 管理介面,並將其判定為與關鍵基建相關的高價值目標。vNode 可作為 OT 與企業 IT 之間的數據整合層,但 Dragos 同時提醒,看到 vNode 介面不等於已直接進入 OT 環境。此處的商業風險在於,AI 輔助網絡攻擊可以把原本只懂 IT 入侵的攻擊者,快速引向水務控制系統、工業閘道、SCADA 平台和 IT-OT 邊界。
Claude 隨後分析該 vNode 網頁介面,判斷其採用單一密碼認證機制,並建議攻擊者進行 password spraying。Claude 同時搜尋供應商文件和公開安全文章,組合預設密碼、SADM 與 Monterrey 相關命名方式,以及先前在其他政府系統取得的憑證。攻擊者其後進行兩輪自動化密碼噴灑,兩次均告失敗。Dragos 沒有發現攻擊者取得底層 OT 環境可見度,也沒有證據顯示控制系統曾被操作。不過這次 AI 輔助網絡攻擊已推進至 ICS Cyber Kill Chain 的早期階段,說明企業不能再把 OT 風險視為單純工程部門問題。
攻擊速度和門檻才是真正威脅
Dragos 的 Jay Deen 在報告中採取審慎判斷:今次事件並沒有證明 Claude 創造出全新 ICS 專用攻擊能力,也沒有證明 AI 獨立完成 OT 入侵。真正值得企業決策人關注是 Claude 將公開攻防技巧快速整理成可執行流程,大幅減少攻擊者理解目標環境、編寫工具和修正錯誤所需時間。報告披露,Claude 完整撰寫一個 17,000 行 Python 後入侵框架 BACKUPOSINT v9.0 APEX PREDATOR,內含 49 個模組,覆蓋網絡枚舉、憑證蒐集、Active Directory 查詢、資料庫存取、權限提升、雲端元數據抽取和橫向移動。
Claude AI 攻擊事件之所以值得關注,在於 AI 輔助網絡攻擊讓普通攻擊者更快找出「皇冠資產」,而非黑客突然擁有神秘能力。Dragos 指出,相關工具主要整合公開滲透測試資源,並不算新穎或特別高階;但 Claude 能在操作回饋下持續修改程式碼,甚至把一個基本 HTTP 控制器在兩日內推進成較完整的 C2 框架。這條因果鏈對 CEO 很直接:AI 降低技術門檻,IT 入侵後的橫向偵察速度上升,SOC、CISO 和 OT 工程團隊若仍依賴人手盤點,阻截時間便會被壓縮。
企業仍要管好自身 AI 治理
Anthropic 在 2025 年 8 月威脅情報報告中承認,犯罪者已濫用 Claude Code 進行資料勒索、北韓遙距工作欺詐,以及由低技術能力犯罪者生成勒索軟件。其中一宗資料勒索行動涉及至少 17 個組織,贖金要求有時超過 50 萬美元(約 390 萬港元)。到 2025 年 11 月,Anthropic 又稱偵測並中斷一宗 AI 編排的網絡間諜行動,攻擊者被評估為中國國家支持組織,曾嘗試入侵約 30 個全球目標,並在少數個案成功。這些案例顯示,AI 輔助網絡攻擊已由釣魚內容生成,走向偵察、憑證收集、漏洞測試和資料整理。
然而企業不能把風險管理外判給模型供應商。Anthropic 可封鎖帳戶、改良分類器和通知受害者,但公司仍要決定哪些員工可用公開 AI、哪些資料不可輸入 AI 工具、AI 代理能否連接內部系統,以及安全日誌是否足以追蹤模型行為。本稿核對原始新聞、Dragos 技術簡報、Anthropic 官方威脅報告、香港本地網安資料及 SANS OT 安全建議,並以企業風險角度重構事件。這次事件意味著什麼?它意味著 AI 治理、資料治理、供應商遠端存取和 OT 可視性,已屬同一張董事會風險地圖。
