Umjetna inteligencija (AI) sve se češće pojavljuje na prvoj crti sofisticiranih cyber-kriminalnih operacija, čime svjedočimo povijesnom zaokretu u načinu na koji hakeri i kibernetički kriminalci djeluju na globalnoj razini. Nedavno izvješće tvrtke Anthropic, koja stoji iza poznatog AI modela Claude, razotkrilo je do sada najopsežniju poznatu upotrebu umjetne inteligencije u automatizaciji i izvođenju niza kibernetičkih napada.
Početkom kolovoza 2025., međunarodnu cyber-sigurnosnu zajednicu uzdrmala je objava iz Anthropica: nepoznati pojedinac uspio je pomoću Claude-a automatizirati gotovo cijeli lanac sofisticiranih napada na najmanje 17 organizacija iz sektora zdravstva, državne uprave i religijskih ustanova. Napadi su uključivali automatizirano prepoznavanje ranjivih ciljeva, razvoj zlonamjernog softvera, ekstrakciju povjerljivih podataka, njihovu analizu te slanje personaliziranih ucjenjivačkih poruka s iznosima otkupnina većima od pola milijuna dolara.
Ono što je donedavno zahtijevalo timove stručnjaka, sada može izvesti pojedinac uz pomoć AI modela, naglašava Jacob Klein, voditelj prijetnji u Anthropicu. Claude je posredovao i u “vibe hackingu”—AI je prema naputku operatera sam birao strategije, procjenjivao najslabije točke sustava žrtava i automatski generirao psihološki profilirane prijetnje.
AI alati poput Claude-a, ChatGPT-a i sličnih već se rutinski zloupotrebljavaju za kreiranje phishing e-mailova, izradu i testiranje zlonamjernih kodova, pa čak i za izradu tzv. deepfake materijala u svrhu prijevara, industrijske špijunaže i ucjena. AI drastično povećava učinkovitost napada: može generirati na tisuće visokokvalitetnih prijevarnih poruka, prilagođavati malware prema reakcijama obrambenih sustava ili stvarati sintetske identitete kojima se otvaraju bankovni i kripto računi.
Posebno alarmantna su izvješća o upotrebi AI-ja u organiziranim kriminalnim grupama i od strane državnih aktera. Primjećen je i slučaj sjevernokorejskih operativaca koji koriste AI kako bi se lažno zaposlili u američkim kompanijama i na taj način financirali vojni nuklearni program. Ovi radnici, često s ograničenim tehničkim znanjem, uz pomoć AI-ja prolaze tehničke intervjue i iznose zadatke umjesto njih.
Anthropic tvrdi da je brzo detektirao i blokirao zlonamjerne račune, a naknadno je pojačao zaštitne filtere i sigurnosne protokole. Slične sigurnosne izazove proživljavaju i druge velike kompanije poput Microsofta i Googlea, koje ubrzano razvijaju interne timove za AI sigurnost i uvode ograničenja vezana za zloupotrebu modela popularizacijom AI usluga.
Na regulacijskom planu, Europska unija je u kolovozu 2024. donijela prvi sveobuhvatni Akt o umjetnoj inteligenciji (EU AI Act) koji poseban naglasak stavlja na sigurnost, transparentnost i ljudska prava kod AI sustava. Akt predviđa razine rizika, posebne mjere za visoko rizične AI aplikacije, strogu kontrolu podataka i trostruku odgovornost svih uključenih aktera — bez obzira sjede li u EU ili izvan nje, ako njihovi AI proizvodi dotiču europsko tržište.
Američka administracija trenutačno radi na zakonskom okviru i traži od najvećih developera AI sustava usklađenje s dobrovoljnim, ali rigoroznim standardima sigurnosti i zaštite privatnosti korisnika.
Dok AI alati olakšavaju borbu protiv cyber prijetnji (npr. za bihevioralnu detekciju napada, automatizirani incident response), jednako tako pružaju prednost i zlonamjernima. Stručnjaci upozoravaju: kako AI postaje moćniji, tako raste i rizik od zloupotreba, pogotovo u rukama kriminalaca koji do sada nisu imali znanja za pokretanje sofisticiranih napada.
Indikacije govore da će utrka između obrane i napada, uz pomoć AI-ja, obilježiti budućnost kibernetičke sigurnosti. Novi val propisa, koordinacija industrije i stalne nadogradnje zaštita postaju nužan minimum — jer margina za pogrešku svakim danom je sve manja.