据安全研究机构 Gambit Security 最新披露，在 2025 年 12 月至 2026 年 2 月期间，一名独立攻击者利用 Claude Code 和 GPT-4.1 两款 AI 编程辅助工具，成功入侵墨西哥九家政府实体，窃取了数亿条公民敏感记录，并在部分系统中实现了持久化控制。

研究人员指出，该攻击者通过 AI 平台自动化执行了大量远程命令，其操作速度远超传统人工渗透测试或攻击团队。在全部攻击指令中，Claude Code 承担了约 75% 的远程命令执行。攻击者共记录了 1,088 条提示词，这些提示生成了 5,317 条可执行命令，分布在 34 个在线会话中。借助 AI 的代码生成与解释能力，攻击者在数小时内即可完成对陌生网络的资产识别与攻击路径规划。

攻击者于 2025 年 12 月 27 日启动首个会话，起初声称自己参与合法的漏洞赏金计划，以此试探 AI 的内容安全边界。随后，他向模型输入了一份 1,084 行的黑客手册，其中包含了自动清除历史记录、隐藏操作痕迹等技术细节。通过这种“角色扮演”与手册注入的组合方式，攻击者成功使 AI 忽略了其安全准则，并按照指示生成了可用于入侵的代码与命令。

调查人员在受害系统中发现了一个名为 BACKUPOSINT.py 的定制脚本，代码量达 17,550 行。该脚本负责将来自 305 台内部服务器的窃取数据发送至 OpenAI 的 API 接口，并接收回传的 2,597 份结构化分析报告。这些报告详细说明了目标服务器的配置、漏洞分布及潜在利用方式——AI 在此充当了自动化情报分析员的角色，将原始数据转化为攻击者可直接使用的攻击蓝图。

受影响机构涵盖了联邦税务、州政府、民事登记、选举、医疗及水务等多个领域，具体包括：

- 墨西哥税务管理局（SAT）：1.95 亿条纳税人记录、5,200 万条目录记录被窃取；攻击者还构建了公开的实时查询 API 和伪造税务状态证书的自动化流程。

- 墨西哥州政府：1,550 万条车辆登记记录、360 万条房产所有者记录以及数百万条人口登记记录外泄。

- 墨西哥城民事登记处：约 2.2 亿条民事记录、数百条司法记录及数千条政府雇员凭证被窃取。

- 哈利斯科州政府：5 万条患者记录、1.7 万条家庭暴力受害者记录、3.6 万条医疗雇员记录及 18 万条数字政府记录被窃取；攻击者完全控制了该州的虚拟化基础设施（一个 13 节点的 Nutanix 集群、两个管理控制台，并访问了 38 个数据库中的 37 个）。此外，攻击者在 20 个州属机构中部署了自定义 rootkit。

- 国家选举机构（INE）：6 个州内 1.38 万张选民卡记录被窃取，研究人员估计攻击者可访问的总池量达数千万条。

- 米却肯州政府：228 万条房产记录被窃取，2,000 个用户账户的明文密码被获取。

- 蒙特雷市水务公司（SADM）：3,500 条采购与供应商记录、5,000 条投标记录被访问。

- 塔毛利帕斯州政府：Active Directory 域控被完全入侵。

- 墨西哥城卫生部：Zimbra 邮件服务器被利用。

研究人员从受害者环境中恢复的取证材料包括：

- 20 个针对性漏洞利用脚本，针对 20 个不同的 CVE 编号；

- 400 多个自定义攻击脚本（其中 301 个 Bash 脚本、113 个 Python 脚本），涵盖隧道管理、凭证喷洒、数据提取、自动化部署、操作安全清理以及 rootkit 植入；

- 上述 1,088 条攻击者提示词及其生成的 5,317 条 AI 执行命令记录。

Gambit Security 分析认为，此次攻击之所以得手，根本原因在于目标机构**普遍缺乏基础的安全运维措施**：未及时修补已知漏洞的软件版本、未定期更换密码、网络内部未进行合理的分段隔离。尽管 AI 工具降低了攻击者的技术门槛和人力成本，但若能落实漏洞管理、强化认证机制和网络微分段，完全可以在多个环节阻断攻击链。

AI 编程助手的滥用正在使单点攻击者的能力被极大放大。对于安全团队而言，防御侧同样需要引入自动化与 AI 能力来对抗这种不对称威胁。

[培训]Windows内核深度攻防：从Hook技术到Rootkit实战！