Anthropic mapeia 832 atacantes contra o MITRE ATT&CK: o LLM ATT&CK Navigator e o que ele revela sobre o crime com IA

Resumo: A Anthropic publicou em junho de 2026 o LLM ATT&CK Navigator, uma análise que mapeia 832 contas banidas por uso malicioso do Claude — e 13.873 ações concretas — contra o framework MITRE ATT&CK. O estudo cobre o período de março de 2025 a fevereiro de 2026, foi feito em parceria com o time de Frontier Red, e parte dele alimentou o Verizon Data Breach Investigations Report (DBIR) 2026. A leitura é sóbria: a IA generativa virou ferramenta operacional do crime cibernético, mas, por enquanto, amplia técnicas conhecidas em vez de inventar novas.

O que a Anthropic mostrou

O time de Frontier Red da Anthropic vinha, há mais de um ano, registrando casos em que o Claude foi usado por atores hostis. O movimento desta semana foi sistematizar esses casos. A empresa olhou para 832 contas que receberam ação de aplicação de política por violação grave da AUP entre março de 2025 e fevereiro de 2026, observou 13.873 ações distintas e classificou cada uma contra as 14 táticas e 482 técnicas conhecidas do MITRE ATT&CK — o catálogo público mais usado por times de Threat Intel no mundo.

O resultado virou uma ferramenta interativa, o LLM ATT&CK Navigator, que permite ver onde o uso malicioso de IA está concentrado. A Anthropic também propôs uma métrica nova: a ARiES (AI Risk Enablement Score), que dá uma nota de 0 a 100 ao quanto a IA contribuiu para a operação ofensiva de cada ator. Dois terços dos atores observados usaram o Claude para ajudar a escrever malware.

Os números que importam

  • 13.873 ações registradas, em 482 técnicas e em todas as 14 táticas ATT&CK.
  • Em caso mediano, o ator pediu ajuda em ~15 técnicas distintas — sinal de uso operacional contínuo, não pontual.
  • 44% do uso ofensivo ligado a “acesso inicial” foi voltado a phishing.
  • Menos de 2,5% das técnicas observadas foram classificadas como raras — quase tudo se encaixa em playbooks já conhecidos.
  • Pela primeira vez, foi documentado um ataque executado por IA em nome de um ator estatal.

Por que isso importa

Há um debate de bastidor há dois anos: a IA realmente está dando “superpoderes” ao atacante, ou só acelera o que ele já fazia? Os dados da Anthropic puxam o consenso para o segundo lado, com uma nuance: aceleração em escala é, na prática, um superpoder. Escrever 50 variantes de e-mail de phishing personalizado em quinze minutos, traduzir engenharia social para sete idiomas, ou refatorar um trojan em uma noite muda a equação econômica do crime. O resultado é mais ataques, melhor adaptados — e times de defesa que precisam tratar phishing, malware variante e infostealers como eventos rotineiros, não exceções.

Status no Brasil

O Brasil já é alvo prioritário de phishing, fraudes via WhatsApp e infostealers — e tem um time de resposta a incidentes federal (o CERT.br) que vem alertando há meses para o aumento de campanhas com texto bem escrito e contexto local convincente. O cruzamento entre as observações da Anthropic e o que o CTIR Gov, a CTI da Febraban e empresas como Tempest e Apura têm reportado é direto: campanhas que antes pareciam “phishing brasileiro mal-feito” agora vêm com português impecável, referências corretas a bancos e órgãos públicos, e capacidade de manter conversa em vários idiomas — sinal típico de uso de LLM. Para quem trabalha em SOC no Brasil, a recomendação prática é:

  • Incorporar nas regras do MITRE ATT&CK em vigor a categoria “AI-assisted” como tag, separando casos com indicadores de geração por LLM (estilo, latência de criação, padrões de prompt vazados).
  • Reforçar treinamento contra spear-phishing — porque o “errinho de português” já não é mais alarme confiável.
  • Incluir indicadores de IA generativa no fluxo de threat hunting: instalação de bibliotecas de scraping fora do padrão, prompts vazados em pacotes, prompts de jailbreak em logs de proxy.

Riscos e limitações do estudo

É importante ler com cuidado. Primeiro, a Anthropic só vê o que passa pelo Claude — atacantes que usam modelos open-source rodando localmente, ou modelos sem moderação, ficam invisíveis. Segundo, os 832 atores foram aqueles que foram banidos — ou seja, deixaram rastro o suficiente para serem detectados. Atacantes mais sofisticados podem nunca aparecer. Terceiro, o framework ATT&CK é excelente para descrever técnicas conhecidas, mas não captura bem usos “para-criminais” da IA, como manipulação política e influência em redes, que estudos paralelos têm mostrado.

Cenário e indicativo de futuro

A combinação dos achados com o DBIR 2026 deixa o mapa razoavelmente claro para os próximos doze meses. Devemos ver: mais campanhas multinacionais que reusam o mesmo “kit de phishing assistido por IA” em vários idiomas; uso crescente de IA para reconhecimento (varredura de organogramas no LinkedIn, identificação de cadeias de fornecedores frágeis); e ataques cada vez mais cedo no funil — engenharia social contra equipes de TI, helpdesks e fornecedores. Em resposta, é provável que provedores como Anthropic, OpenAI e Google publiquem com mais frequência seus próprios “boletins de uso ofensivo”, e que reguladores (especialmente na Europa e nos EUA, possivelmente no Brasil via Anatel/ANPD) passem a exigir esse tipo de transparência.

Forcas
Visibilidade real sobre comportamento ofensivo dentro de um dos modelos mais usados; framework reaproveitável (MITRE) e métrica nova (ARiES) abrem espaço para padronizar análises entre laboratórios.
Fraquezas
Visão limitada a um único provedor; difícil generalizar para o ecossistema open-source. Risco de viés de seleção (só os banidos).
Oportunidades
Padrão emergente de relatórios públicos por laboratório, com benchmarks entre Anthropic, OpenAI, Google e Meta. Insumo direto para CISOs e times de governança.
Ameacas
Atacantes migram para modelos sem moderação; falsa sensação de segurança em quem mira só nos provedores ‘sérios’. Possível uso indevido das métricas em decisões regulatórias prematuras.

Conclusão prática

Se você é responsável por segurança, vale incorporar três coisas no plano dos próximos 90 dias: (1) treinar o time em phishing assistido por IA, com exemplos reais; (2) ajustar o detalhamento do mapeamento MITRE ATT&CK do seu SOC para registrar suspeita de uso de LLM; (3) revisar contratos com provedores de IA que sua empresa usa, garantindo cláusulas claras sobre logs, retenção e cooperação em casos de incidente. A leitura do estudo da Anthropic, lado a lado com o DBIR 2026, é um bom briefing para a próxima reunião de comitê.

Fonte original: Anthropic Research — Mapping AI-enabled cyber threats: Insights from the LLM ATT&CK Navigator.

Ninja

Na cena de cybersecurity a mais de 25 anos, Ninja trabalha como evangelizador de segurança da informação no Brasil. Preocupado com a conscientização de segurança cibernética, a ideia inicial é conseguir expor um pouco para o publico Brasileiro do que acontece no mundo.

Share
Published by
Ninja

Recent Posts

DuneSlide: duas CVEs criticas no Cursor abrem RCE zero-click via prompt injection em CI e MCP servers

CVE-2026-50548 e CVE-2026-50549 (CVSS 9.8), batizadas de DuneSlide pela Cato Networks, permitem sair do sandbox…

10 horas ago

Qilin toma 16% do mercado de ransomware e sinaliza nova onda de consolidacao pos-LockBit

Relatorios da Check Point e da Sophos mostram que o Qilin absorveu afiliados orfaos das…

10 horas ago

Operation DragonReturn: hackers ligados a China usam falso app do fisco indiano para plantar DcRAT

Cluster suspeito de vinculo chines usa iscas do Imposto de Renda indiano para entregar DcRAT…

10 horas ago

Medtronic confirma vazamento de dados de 3,8 milhões de pacientes em ataque atribuído ao ShinyHunters

Gigante de dispositivos médicos notifica pacientes após grupo de extorsão ShinyHunters acessar sistemas corporativos e…

1 dia ago

Decisão da Suprema Corte dos EUA sobre agências independentes ameaça acordo de transferência de dados UE-EUA

Max Schrems planeja contestar o Data Privacy Framework após corte permitir que presidentes demitam membros…

1 dia ago

Hackers norte-coreanos publicam 108 pacotes maliciosos em npm, Go e Chrome na campanha PolinRider

Grupo ligado ao Contagious Interview publicou 108 pacotes e extensões em npm, Packagist, Go e…

1 dia ago