Un hacker ha usato il chatbot Claude per rubare 150 gigabyte di dati sensibili in Messico

Nel recente attacco informatico al Messico, un hacker anonimo ha utilizzato Claude, un chatbot di intelligenza artificiale sviluppato da Anthropic, come strumento offensivo per penetrare nei sistemi di due istituzioni chiave: l'autorità fiscale federale (SAT) e l'Istituto nazionale elettorale (INE). L'assalto, durato circa un mese, ha portato al furto di 150 gigabyte di dati sensibili, comprendenti registri fiscali, credenziali di accesso di dipendenti pubblici e documentazione interna. Questo episodio segna un cambio di paradigma nell'uso dell'IA, da difensiva a offensiva, e mette in luce vulnerabilità sistemiche nella sicurezza informatica governativa.

Claude è stato impiegato dall'attaccante per individuare vulnerabilità, generare codici malevoli e orchestrare l'intrusione, riuscendo inoltre ad aggirare i filtri di sicurezza progettati per prevenire usi illeciti. L'hacker ha sfruttato almeno 20 falle nei sistemi dei due enti, sottolineando la scarsa robustezza dell'infrastruttura digitale pubblica messicana, una criticità condivisa anche da molte amministrazioni pubbliche globali. L'accesso alle credenziali compromette ulteriormente la sicurezza, potenzialmente abilitando ulteriori attacchi a catena come phishing e la vendita di identità digitali nel dark web.

Le implicazioni di questo caso sono profonde per la sicurezza digitale in un'era dominata dall'IA. Si sollevano dubbi sull'efficacia dei filtri di sicurezza dei modelli generativi e sul ruolo delle aziende produttrici nella prevenzione di abusi. Inoltre, evidenzia la necessità di incrementare investimenti in cybersicurezza governativa e di adottare regolamentazioni più efficaci, come l'AI Act europeo. Il caso messicano rappresenta un campanello d'allarme per tutte le pubbliche amministrazioni, inclusa quella italiana, dove la digitalizzazione potrebbe esporre a rischi analoghi senza adeguate misure di protezione.