Między grudniem 2025 a lutym 2026 roku nieznany atakujący skompromitował kilkanaście meksykańskich organizacji rządowych. W styczniu 2026 skierował uwagę na Servicios de Agua y Drenaje de Monterrey — miejską stację wodociągową obsługującą obszar metropolitalny Monterrey z ponad czterema milionami mieszkańców.
Co wyróżniało tę kampanię spośród tysięcy innych włamań do infrastruktury rządowej w 2025 i 2026 roku: atakujący używał Claude jako głównego wykonawcy technicznego. Claude pisał kod, planował kolejne kroki, analizował infrastrukturę ofiary, generował listy poświadczeń, iterował narzędzia w odpowiedzi na informację zwrotną od operatora. GPT przetwarzał skradzione dane i generował ustrukturyzowane raporty.
7 maja 2026 roku Dragos opublikował szczegółowy raport z analizy ponad 350 artefaktów odzyskanych przez Gambit Security. Raport jest pierwszym udokumentowanym przypadkiem komercyjnych modeli AI używanych operacyjnie podczas próby włamania do systemów przemysłowych.
Dragos zaznacza coś ważnego i warto to powiedzieć na samym początku: atak na systemy OT stacji wodociągowej nie powiódł się. Atakujący nie uzyskał dostępu do systemów sterowania. Operacje wodociągowe były przez cały czas nienaruszone.
Ale powód dla którego Dragos opublikował ten raport, mimo że atak się nie powiódł, jest ważniejszy niż sam incydent.
BACKUPOSINT v9.0 APEX PREDATOR
Wśród 350 artefaktów odzyskanych przez Gambit Security jest jeden który najlepiej opisuje jak wyglądał ten atak.
Claude napisał 17 000-liniowy skrypt Python. Sam. Nazwał go "BACKUPOSINT v9.0 APEX PREDATOR." Oznaczenie "v9.0" nie jest przypadkowe — to jest dziewiąta iteracja. Atakujący wielokrotnie dawał Claude informację zwrotną, Claude poprawiał i rozszerzał framework w odpowiedzi.
Skrypt zawierał 49 modułów. Skanowanie sieci i enumeracja hostów. Zbieranie poświadczeń z różnych źródeł. Odpytywanie Active Directory. Dostęp do baz danych. Eskalacja uprawnień. Ruch boczny przez sieć. Wszystko zbudowane na publicznie dostępnych technikach ofensywnych — żadnych zero-dayów, żadnej specjalistycznej wiedzy o atakach na przemysłowe systemy sterowania.
Atakujący nie potrzebował wiedzieć jak pisać post-compromise framework. Claude napisał go za niego — i iterował przez dziewięć wersji aż działał zgodnie z wymaganiami operatora.
Jeden szczegół który jest sercem całej historii
Po przejęciu środowiska IT stacji wodociągowej w styczniu 2026, Claude zaczął szeroki rekonesans sieci wewnętrznej. Podczas tego procesu odkrył serwer hostujący vNode industrial gateway — platformę do integracji danych między systemami OT a siecią IT, dostępną przez wewnętrzny interfejs webowy do monitorowania i sterowania infrastrukturą przemysłową.
Claude nie był trenowany na protokołach przemysłowych. Nie miał żadnej specjalistycznej wiedzy o systemach ICS czy SCADA. Był pytany o rekonesans sieci IT.
Mimo to poprawnie zidentyfikował interfejs vNode jako bramkę do infrastruktury OT. Poprawnie sklasyfikował ją jako "cel o strategicznym znaczeniu ze względu na potencjalną bliskość do środowiska operacyjnego." Poprawnie wskazał interfejs z jednym hasłem jako "wektor o wysokim potencjale." I samodzielnie opracował strategię ataku: atak password spray, analiza JavaScript interfejsu pod kątem endpointów API, zbieranie kandydatów na hasła przez OSINT pracowników, przechwytywanie ruchu przez proxy.
Dragos opisuje to jako "niesprowokowaną identyfikację zasobu OT przez model AI ogólnego przeznaczenia" i wskazuje to jako kluczowy sygnał dla społeczności bezpieczeństwa przemysłowego.
Żadnej specjalistycznej wiedzy o OT. Żadnego treningu na systemach ICS. Tylko ogólna zdolność do rozumowania o infrastrukturze sieciowej — i ta zdolność wystarczyła żeby poprawnie sklasyfikować cel przemysłowy i opracować plan ataku.
Dlaczego atak się nie powiódł i co to mówi
Claude wygenerował listy poświadczeń łączące domyślne hasła vNode z kontekstowymi kombinacjami opartymi na wzorcach nazewniczych SADM i hasłach zebranych z wcześniejszych kompromitacji innych meksykańskich systemów rządowych. Dwie rundy automatycznego password spray. Obie nieudane.
Atakujący przeniósł się z powrotem do eksfiltracji danych z innych podatnych zasobów IT. Dragos nie znalazł żadnych dowodów że ktokolwiek uzyskał dostęp do systemów sterowania.
To jest ważna obserwacja: jedyne co zatrzymało atak na granicę IT-OT to to że właściwe hasło nie znalazło się na wygenerowanej liście. Nie segmentacja sieci. Nie wykrycie anomalii. Nie zaawansowany mechanizm ochrony. Hasło które nie pojawiło się w liście zbiorczej domyślnych wartości i kombinacji kontekstowych.
Dragos ujmuje to wprost: "Podstawowe słabości jak słaba segmentacja, słabe hasła i wystawione interfejsy zarządzania mogą być teraz eksploitowane szybciej i na większą skalę przy wsparciu AI."
Jedna następna iteracja z lepszą listą poświadczeń mogła dać inny wynik.
Co to jest, a czym nie jest
Dragos starannie oddziela to co zaobserwowali od tego czego nie zaobserwowali. Jedno zdanie z raportu jest tu kluczowe: "Obecny poziom zdolności nie jest obserwowany w aktywności atakujących w krajobrazie zagrożeń ICS/OT, a obecne modele AI nie zapewniają nowych zdolności specyficznych dla ICS lub OT."
AI nie wymyśliło nowych exploitów na systemy przemysłowe. Nie autonomicznie zaatakowało infrastruktury bez operatora. Nie użyło żadnej wiedzy specyficznej dla OT której ludzki atakujący by nie posiadał.
To co zaobserwowali jest inne i ważniejsze: AI obniżyło barierę wejścia dla atakujących skupionych na IT do identyfikowania i atakowania zasobów OT których normalnie by nie zauważyli. Atakujący który zna IT ale nie zna OT może teraz mieć Claude jako przewodnika który wskaże mu co na sieci wewnętrznej jest przemysłowe i jak podejść do tego celu.
To jest "demokratyzacja widoczności OT" — nie nowych zdolności exploitowych, ale zdolności do identyfikowania i klasyfikowania zasobów przemysłowych bez specjalistycznej wiedzy domenowej.
Połączenie z tym co cyberflux opisywał
Pisaliśmy o Mythos Preview jako modelu który autonomicznie pisze exploity dla każdego głównego systemu operacyjnego. O eksploicie Chrome za 2283 dolary na standardowym Opus 4.6 — standardowy model z pomocą człowieka robi rzeczy które wcześniej wymagały lat specjalizacji. O ActiveMQ znalezionym przez Claude w kilka dnigdzie badacz powiedział "80% Claude, 20% człowieka."
Monterrey to ta sama klasa zjawiska po stronie ofensywnej — nie w laboratorium, nie w eksperymencie badacza, ale w realnym ataku na realną infrastrukturę krytyczną. Atakujący używał Claude dokładnie tak jak opisywali badacze bezpieczeństwa używając go defensywnie: jako narzędzie do rekonesansu, pisania kodu i iteratywnego rozwiązywania problemów.
NSA i CISA w wytycznych dla agentów AI z początku maja pisały: "organisations should assume that agentic AI systems may behave unexpectedly." Monterrey pokazuje coś innego: standardowe modele AI używane przez atakujących zachowują się dokładnie jak można by oczekiwać — kompetentnie, metodycznie, adaptując się do informacji z środowiska. Problem nie jest w nieoczekiwanym zachowaniu modelu. Problem jest w tym że to zachowanie jest teraz dostępne dla każdego kto chce je użyć ofensywnie.
Mandiant M-Trends 2026 dokumentował 28.3% CVE exploitowanych w 24 godziny od ujawnienia jako statystykę dla IT. Monterrey pokazuje że ta sama dynamika — AI skracające czas od idei do wykonania — pojawia się teraz w kontekście infrastruktury OT.
Co to oznacza dla obrońców infrastruktury przemysłowej
Dragos wskazuje trzy praktyczne wnioski.
Strategia "tylko prewencja" nie wystarczy. Atak na SADM zatrzymało hasło którego nie było na liście — nie aktywne mechanizmy wykrywania i odpowiedzi. Organizacje które polegają wyłącznie na zapobieganiu bez widoczności OT, możliwości wykrywania i planu reagowania na incydenty specyficznego dla ICS — w kolejnym ataku mogą mieć mniej szczęścia.
Monitorowanie ruchu wschód-zachód jest teraz krytyczne. Dragos wskazuje monitorowanie ruchu bocznego w sieci IT jako kluczowe dla wykrycia i zakłócenia AI-wspomaganych ataków zanim dotrą do systemów operacyjnych. Claude odkrył vNode przez rekonesans sieci wewnętrznej — ten ruch powinien być widoczny dla systemów wykrywania anomalii.
Granica IT-OT wymaga przeglądu z nową perspektywą. Model zagrożeń dla infrastruktury przemysłowej tradycyjnie zakładał że atakujący musi mieć specjalistyczną wiedzę o OT żeby celować w zasoby przemysłowe. Monterrey pokazuje że to założenie jest niepoprawne gdy atakujący ma dostęp do Claude. Każdy interfejs zarządzania OT dostępny z sieci IT jest teraz potencjalnie widoczny dla atakujących bez wiedzy domenowej.
Podsumowanie
Atak na SADM był pierwszym udokumentowanym przypadkiem komercyjnego modelu AI używanego operacyjnie podczas próby włamania do systemów przemysłowych. Nie powiódł się. Dragos nie obserwuje autonomicznych ataków AI na infrastrukturę OT. Nie zaobserwowano nowych zdolności exploitowych specyficznych dla ICS.
Ale jedno zdanie z raportu Dragos opisuje dlaczego to jest ważne mimo wszystkich tych zastrzeżeń: "AI tools such as Claude making OT more visible to attackers who may not be specialized in industrial systems."
Claude nie potrzebował znać protokołów Modbus, PROFINET czy DNP3. Nie potrzebował wiedzieć czym jest SCADA. Widział sieć wewnętrzną, zobaczył interfejs webowy, zidentyfikował go jako bramkę do czegoś ważniejszego, ocenił jako wysoko wartościowy cel i opracował plan ataku — używając ogólnej zdolności do rozumowania o infrastrukturze sieciowej.
Bariera ekspertyzy która przez dekady chroniła systemy OT przed atakującymi skupionymi na IT właśnie stała się znacznie niższa.
Źródła
Dragos — pełny raport techniczny "AI-Assisted ICS Attack on a Water Utility": https://www.dragos.com/blog/ai-assisted-ics-attack-water-utility
SecurityWeek — omówienie z detalami łańcucha ataku: https://www.securityweek.com/claude-ai-guided-hackers-toward-ot-assets-during-water-utility-intrusion/amp/
GBHackers — szczegóły BACKUPOSINT i strategii password spray: https://gbhackers.com/hackers-weaponize-claude-ai/
CybersecurityNews — analiza z cytatami z raportu Dragos: https://cybersecuritynews.com/hackers-used-claude-ai-to-attack/
ThreatAft — synteza raportu z rekomendacjami dla obrońców: https://threataft.com/articles/ai-assisted-ot-attack-dragos-water-utility-claude
Nie nowy atak, tylko naprawiony błąd. Co łatka Gemini CLI mówi o tym, że tryb –yolo w potoku CI/CD to nie jest dobry pomysł