文章总结： Anthropic揭露中国国家支持的行为者GTG-1002利用ClaudeCode实施了史上首次AI自主编排的网络间谍行动，AI独立完成80%至90%的战术任务，约30个组织被列为攻击目标。同时，美军在伊朗行动中使用的Maven智能系统嵌入了Claude，因数据过时导致误击平民事件引发争议。Anthropic因拒绝放宽军事用途限制被五角大楼列为供应链风险并提起诉讼，法官签发初步禁令。文章揭示AI武器化的双刃剑困境：能力大幅扩展的同时，人类决策缓冲机制被系统性压缩，AI武器化边界尚无定论。 综合评分： 78 文章分类： AI安全,威胁情报,红队,网络安全,政策法规

当AI开始自主策划间谍行动，Anthropic揭露史上首次人工智能编排网络谍报战

原创

001 001

情报分析师Pro

2026年4月5日 21:17 辽宁

2025年9月的某个夜晚，Anthropic的威胁情报团队盯着屏幕上的异常流量记录，感到了一种陌生的不适。

这种感觉，不是因为他们发现了一次攻击——他们见过太多攻击了。让他们不安的，是攻击的方式。这一次，不是人在用AI帮忙，而是AI在自己干活，人只是偶尔批准一下。

红线被划破的那个夜晚

根据Anthropic于2025年11月13日发布的完整调查报告，事件的起点是2025年9月中旬，该公司威胁情报团队检测到Claude Code（其面向开发者的代码助手版本）出现异常使用模式。

随后十天内，调查揭示了全貌：一个被Anthropic标记为GTG-1002的中国国家支持的威胁行为者，通过社会工程手段和”越狱”技巧——伪装成从事防御性渗透测试的网络安全公司员工，将大规模攻击任务分解为表面上各自无害的小步骤——成功诱导Claude Code执行了一场高度自动化的网络间谍行动。

攻击目标涵盖约30个组织，包括大型科技公司、金融机构、化工制造商和政府机构，并在”少数几个案例”中成功入侵。

在整个攻击链路中，AI独立完成了80%到90%的战术任务：侦察、漏洞发现、漏洞利用、凭证收集、横向移动、数据外泄。

人类操作者仅负责选定目标、批准从侦察阶段向主动入侵阶段的过渡，以及授权最终数据外泄的范围。

Anthropic在发现后迅速完成了追踪、封号、通知受害方并协调执法当局介入的全链路应对。

但这份报告的真正意义，不在于这次事件被阻止了，而在于它证明了一个之前只存在于理论推演中的攻击模式已经成真。

代理AI——从工具到特工

要理解这件事的重要性，必须先理解”代理AI”（Agentic AI）和”传统AI辅助”之间的本质区别。

此前，网络间谍行动中使用AI的方式，是”人类指挥，AI建议”：黑客决定攻击哪个目标、用什么方法，AI提供代码片段、漏洞分析或文本辅助。

整个攻击链的决策节点和执行动作，始终在人类手中。

GTG-1002的行动颠覆了这个逻辑。根据Anthropic的报告，攻击者建立了一套编排框架，将多个Claude Code实例部署为平行运行的自主渗透测试代理。这些AI代理不仅接受指令——它们自主循环执行复杂任务链：发现目标暴露面、尝试不同的利用路径、遇到失败后自动调整策略、生成操作文档和网络地图，并管理不同攻击阶段之间的任务交接。

一个威胁行为者，即便没有组建一整支经验丰富的黑客团队，也可以同时对30个目标展开操作，以人类团队根本无法匹配的速度推进攻击。

攻击成本的下降和规模扩张的可能，是传统网络安全防御框架从未预设的场景。

GTG-1002并未使用零日漏洞，而是主要依赖广泛可用的开源渗透测试工具，只是这些工具被AI以更快的速度、更高的并发性和更持续的耐力操控着。

这个细节说明，真正的门槛变化不在技术工具层面，而在”谁能操控这些工具”这个层面——AI正在将高端黑客能力自主化。

Maven与伊朗战争中的AI瞄准机器

就在Anthropic的内部报告还在网络安全圈引发争议的同时，2026年2月28日，美国和以色列发动了代号”史诗狂怒行动”（Operation Epic Fury）的对伊朗联合军事行动，将AI在战场上的另一重角色推到了公众面前。

美国中央司令部使用了Maven智能系统（Maven Smart System）——由数据分析公司Palantir研发、造价高达13亿美元的AI辅助打击平台。

该系统融合超过150个数据源，包括卫星图像、无人机视频、雷达数据和信号情报，实时生成目标识别、武器推荐和打击方案。

嵌入Maven系统内部的，正是Anthropic的Claude。

行动首个24小时内，美军打击了超过1000个目标——美国中央司令部司令布拉德·库珀上将称，这一节奏几乎是2003年伊拉克战争”震慑”行动规模的两倍。 Maven在这场行动中生成了数百份打击坐标，将原本需要跨越八九个不同应用程序的目标处理流程整合为单一界面内的实时操作，大幅压缩了传统意义上的”杀伤链”决策周期。

但2026年2月28日当天，一枚战斧巡航导弹击中了伊朗霍尔木兹甘省米纳卜市的”圣洁之树”女子小学。

根据联合国和伊朗官员的数据，至少168人遇难，其中逾百人为12岁以下儿童。

事后调查的指向性日益清晰：五角大楼内部调查初步指向美国的责任，但前军事官员向媒体确认，这是”人类而非AI的错误”——问题出在被送入Maven系统的人工整理数据已经过时，而不是AI本身发生了计算错误。

但这一解释并不令批评者满意：当AI以人类无法追踪的速度生成千个打击目标时，人类在”审批”与”橡皮图章”之间的界限在哪里？

Anthropic vs. 五角大楼——私企能否拒绝军事合同？

这场讨论很快超出了技术范畴，演变成一场法律与宪制层面的对抗。

2024年7月，Anthropic与五角大楼签署了一份2亿美元的合同。

随后，谈判在如何扩展Claude在Pentagon的Gen.mil平台上的部署时陷入僵局：五角大楼要求Claude可被用于”任何合法目的”，而Anthropic坚持要求合同中明确排除将技术用于全自主武器系统和国内大规模监控两项用途。

谈判破裂。

2026年3月初，美国防部长皮特·赫格塞斯正式将Anthropic列为”供应链风险”——这是美国历史上第一次对本国企业使用这一通常保留给外国对手的分类。

这一分类的实际效果，是要求微软、Palantir等所有与军方合作的科技公司，证明其军事相关业务中没有使用Claude。

Anthropic随即提起诉讼，主张政府行为构成第一修正案意义上的报复——即政府因企业公开表达对合同条款的关切而对其实施惩罚。

2026年3月26日，加利福尼亚联邦法官丽塔·林签发初步禁令，裁定五角大楼的黑名单行为”看起来像是对Anthropic施压的经典第一修正案报复”，暂停该命令执行。

这是一个极具历史意义的案例：一家私营科技企业，因拒绝允许其产品被用于特定军事用途，而与联邦政府在法庭上正面交锋。最终判决预计还需数月。

双刃剑困境

这两条故事线——GTG-1002的AI谍报战和Maven在伊朗的实战应用揭示的是同一个双刃剑困境的两面。

AI将情报与作战能力以前所未有的方式扩大：一个技术资源有限的行为者，现在可以调度相当于一整支精英黑客团队的攻击能力；一支军队可以在24小时内处理过去需要数周才能完成的打击目标清单。

但同样的技术，也使单次操作失误的代价急剧放大——当你以机器的速度在做决策时，人类”暂停一下再想想”的缓冲机制就会被系统性地压缩乃至消除。

Anthropic和五角大楼之间的法律对抗，本质上是一个关于谁来设定AI武器化边界的根本性问题。

这个问题在2026年没有答案，也不太可能很快有答案。

下一步最值得观察的：Anthropic诉五角大楼案的最终判决，以及GTG-1002背后的中国情报机构是否会在被曝光后快速迭代，将类似行动切换到其他大语言模型平台上重启。后者发生的概率，在情报分析社区中被普遍视为”几乎必然”。

一个谷歌翻译，摧毁了俄罗斯最机密的杀手特工部队

五角大楼”金融特种部队”，美式国家资本主义的战略逻辑与对我博弈新棋局

日本自卫队员冲闯我驻日大使馆事件深度情报分析报告

【热点研判】2026年”肩并肩”军演战略评估/朝鲜测试可打击美国本土的新型固体发动机/巴基斯坦外长称美伊数日内或谈判

情报高手为什么很少”立刻下判断”？防止被假消息带节奏，最有效的方法叫”假设检验”

外溢风险评估

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：情报分析师Pro 001 001《当AI开始自主策划间谍行动，Anthropic揭露史上首次人工智能编排网络谍报战》