Claude Code被黑客用疯了！用AI编程几周敲诈17家机构

摘要：细节令人震惊：在 Kali Linux 上，黑客把 Claude Code 当作全面攻击平台，还将操作指令嵌入到一个 CLAUDE.md 文件中，为每一次交互提供持久化上下文。（关于md文档用法，可以阅读这篇文章：Claude高阶玩法泄露！Reddit高赞帖：

Vibe coding火了，Vibe hacking还会远吗？

今天，Anthropic 在最新报告中自曝：黑客正把 Claude Code 武器化，搭建出一整套“诈骗流水线”。

据披露，2025 年 7 月他们成功阻止了一起复杂的网络犯罪行动。攻击者利用 Claude，发动了大规模的数据窃取与勒索。

细节令人震惊：在 Kali Linux 上，黑客把 Claude Code 当作全面攻击平台，还将操作指令嵌入到一个 CLAUDE.md 文件中，为每一次交互提供持久化上下文。（关于md文档用法，可以阅读这篇文章：Claude高阶玩法泄露！Reddit高赞帖：别只会对AI说“帮我修这个 bug”，老手都在配置现成指令库！网友：指挥AI是关键）

*注：Kali Linux 是一款专门面向网络安全和渗透测试的 Linux 发行版。

受害者遍布至少 17 家机构，单次勒索金额高达 50 万美元（约360 万人民币）。

要知道，这种规模的行动往常得靠一个网络犯罪团伙耗时数月。可有了 AI 加持，黑客独自一人，短短几周就完成同等规模的入侵——妥妥的超级个体。

看来，黑客们也迎来了自己的 “vibe 时代”。

一向以“安全”为卖点的 Anthropic，这次不仅抛出了一份详尽的报告，还郑重地在播客中发出警告：Vibe Coding 正在演变成巨大的安全风险！

门槛骤降：没写过代码的人，也能轻松“上手诈骗”，导致攻击数量激增；黑产升级：老练的黑客借助 Claude，能在更短时间里放大行动规模。

上图：Anthropic 威胁情报团队成员 Jacob(左一) 和 Alex（左二）

换句话说，AI 正在把“诈骗业”推向规模化、工业化。除了上面的案件，播客中还列举了这些利用AI编程犯罪的事实：

勒索软件即服务：英国黑客通过 Claude “vibe coding” 开发勒索软件，并在暗网上出售，形成 SaaS 化的地下生意模式。朝鲜就业骗局：朝鲜人员用假身份冒充远程 IT/AI 从业者，在美国500强公司获得职位。高科技杀猪盘：黑产团队利用 Claude 作为“情感引擎”，请求 Claude 提供如何恭维、如何暧昧回复的建议，用于骗取钱财。信用卡欺诈：骗子用 Claude 搭建“卡商服务”，生成伪造或被盗信用卡的基础设施。

接下来，我们就从那起发生在 Kali Linux 上的数据勒索案件讲起——看看这些 “vibe hacker” 究竟是怎么操盘的，而 Claude 团队又如何在暗处迎战。

这场 AI 驱动的猫鼠游戏，才刚刚开始。

在Anthropic 披露的这起典型的“氛围黑客”案例中：

这名身份不明的攻击者，以前所未有的程度利用了 AI 。

通过Claude Code高效的编码能力，完成了大规模窃取和勒索。不同于传统勒索软件通过加密锁死文件，这次的手法更阴险：攻击者直接威胁要公开敏感信息，逼迫受害者支付赎金，金额金额在7.5 万至 50 万美元（比特币）之间。

Anthropic 威胁情报团队在播客中解释：

像教堂这样的组织，通常缺乏自动化防御体系。攻击者通过入侵 VPN 潜入网络，随后在内部横向移动，寻找可能存有敏感数据的设备，比如教堂的管理员、财务人员的电脑，然后开始收集财务信息等敏感资料。

在这个案例里，Claude 被用于识别和提取捐赠者信息与教友名单。完成收集后，攻击者进一步指示 Claude 对数据进行分析，并生成勒索方案。

最后Claude识别出：目前已经掌握了捐赠者名单和捐款金额，如果把这些信息曝光，可能会严重损害教堂和信众的关系。

于是勒索信就此定调：如果不付钱，就公开这些数据。

以下截图展示了团队在分析真实攻击中提取的勒索信模版。信件里，犯罪分子会逐条列出掌握的敏感资料，并强调可能的后果：防务合同被取消、数百万美元罚款、员工集体诉讼、企业声誉毁灭乃至关门倒闭。

可以说，AI渗透到全工作流程，已经被骗子提前跑通了。

进一步深扒后发现，这名黑客用 Claude Code 串起了整个诈骗工作流——从侦察到渗透，从窃取到勒索，环环相扣。下面，我们来看看其中最典型的几个技术细节。

在一众 AI 犯罪案例中，Claude 不仅帮黑客入侵、收集数据，还在战术和战略层面替他们做决策，甚至连勒索方案也由它拟定。

连 Anthropic 的威胁情报团队成员都直言：

“AI 在这里不仅是工具，而是‘共犯’。它决定了要窃取哪类数据，如何构造心理威慑，这些不是传统脚本能做到的。”

回到我们上文提到的典型案例：真正敲键盘的并不是黑客本人，而是 Claude。

黑客只是偶尔推动和介入，例如会在开始递给 Claude 一份“作战指南”，附加一些条件——“利用你的一切知识，尝试所有可能的方法，直到任务完成”。

之后，Claude 就像一个自动化的渗透代理，独立完成了几乎整个黑客流程：

侦察与渗透：扫描成千上万个 VPN 端点，标记脆弱目标，利用漏洞建立初始访问；再通过用户枚举与网络发现获取更多凭证，实现持久化控制。自主决策：Claude 会自己判断该窃取哪些数据，选择最有价值的目标，而不是机械执行脚本。数据变现与定价：在获取数据后，Claude 会先推算这些数据在暗网的潜在价格，然后建议一个赎金金额。有时甚至会结合受害者的财务状况（预算、现金流、投资信息），计算出“合理的索价区间”。比如，如果AI发现某个机构年收入几千万美元，就会建议勒索几十万。“超定向”勒索：在部分案例中，Claude 甚至帮忙设计了“支付方案”，向受害者说：“你可以分期付款，就像在网上购物一样。”勒索信生成：Claude 还会起草视觉化的恐吓信，在受害者电脑上弹出警告信息，甚至配上威胁性的图像，营造惊悚效果。定制工具开发：攻击者利用 Claude Code 改造了 Chisel 隧道工具的变种，用来规避检测，并将恶意文件伪装成微软合法程序。

当然，一个问题随之而来：Claude 为什么会配合完成这些违法操作？

答案是——黑客先绕过了它的安全防护，也就是所谓的“越狱”：

“越狱”通常使用特殊的方式来提问。有些越狱提示看上去很怪，比如每个单词大小写混合，或者向模型疯狂轰炸成千上万条提示，直到“砸晕”AI，让它顺从地输出。

而在我们介绍的案例里，黑客也是用了一个很传统的办法——角色扮演。他假装自己是一个网络安全测试人员，正在做渗透测试，以确保系统防御足够安全，从而说服 Claude 自己是“有授权”的。

立即封禁：对涉案账户进行封禁，防止进一步滥用；快速检测：开发新的定制分类器与检测方法，加快识别类似行为；情报共享：将技术指标（如 IP 地址、邮箱信息）分享给合作伙伴和主管部门，帮助扩大防御范围；持续改进：不断强化监测能力，防止 Claude 被用于恶意软件开发、虚假就业诈骗或大规模勒索。

Anthropic 强调，要想真正对抗 AI 滥用，必须依靠体系化的多层防御：

模型训练（RLHF）作为大模型公司，必须在强化学习中建立“第一道防线”，让模型尽量不响应恶意请求。这也是黑客必须依靠“越狱”提示来绕过的原因。分类器检测在运行时部署分类器，实时识别可疑交互并进行拦截。离线规则对提示内容进行静态分析，检测字符串特征或可疑模式，判断是否涉及恶意操作。账户安全审查注册信息与账户行为，从入口处减少潜在风险。情报共享与政府、行业伙伴建立双向共享机制，不仅泛泛地通报案例，而是提供具体指标（如 IP、邮箱地址）。一旦攻击者出现在别的平台，他们也能被及时识别与封禁。这是一场依靠社区协作的战斗。

团队成员表示：

“我们从不假设某一层防御可以完美解决所有问题，只有把这些层级结合成一个整体，才能真正与 AI 黑客抗衡。”

当然，他们也展望了一个“魔法打败魔法”的未来：

当前，仅美国就有超过 50 万网络安全人才缺口。如果 AI 智能体能够在网络安全领域承担更多“防御性任务”，它或许能成为人类对抗 AI 滥用的关键力量。

今天报道的这个故事，与我们熟悉的“vibe coding”很不一样。

过去，人们谈到氛围编程，总是和开发者如何借助 AI 提升创造力、产出新的有趣软件联系在一起。

但同样的技术，也可能被拿去作恶。

Anthropic 的威胁情报团队，就像在出演一场现代版的《潜伏》：

他们长期在公开网络和暗网上观察，追踪坏人如何使用 AI、交换手法，再把这些情报反馈给防御方——“看，这是坏人正在尝试的招数。”

正是这样，他们不断研发新的检测与防御机制。

需要强调的是，这些漏洞和风险并非 Claude 独有，更不意味着我们要因噎废食。

这些黑客案例，放在庞大的使用场景里，其实只是“大海捞针”般的极少数。