OALABS: начинающий хакер с помощью Claude Code и Codex взломал 14 компаний

Исследователи кибербезопасности OALABS проанализировали рабочую директорию начинающего злоумышленника и обнаружили следы 14 взломов организаций, выполненных с использованием агентных инструментов Claude Code и OpenAI Codex. Как сообщает TechRadar, атакующий использовал расплывчатые и простые запросы, после чего агенты брали на себя большую часть работы: проводили разведку открытых сервисов, искали возможные уязвимости, писали exploit‑код, проверяли доступ и собирали данные.
По данным исследователей, во многих сессиях злоумышленник ограничивался общими инструкциями, а система сама формировала структуру атаки и техническую реализацию. Анализ более 1,000 агентных сессий показал, что ему удавалось обходить большинство встроенных guardrails. Логи содержали запросы пользователя, применяемые инструменты, внутренний монолог LLM и записи о нарушениях политик.
Рабочая директория была получена после того, как сторонний сервер, на котором запускались агенты, обнаружил вредоносную активность, скачал все файлы и передал их исследователям. В материалах оказались и данные, раскрывающие личность атакующего: его CV с полным именем, местоположением, историей образования и профилем LinkedIn, а также IP‑адрес, указывающий на Addis Ababa, Ethiopia. При этом OALABS не нашли доказательств того, что похищенные данные были монетизированы, ни через продажу на dark web, ни через вымогательство у пострадавших компаний.
Ключевые факты
По данным исследователей OALABS, начинающий хакер с помощью агентов Claude Code и Codex взломал 14 организаций и похитил чувствительные данные.
Атакующий использовал расплывчатые «низкоквалифицированные» промпты, после чего агенты сами выполняли разведку, поиск уязвимостей, написание эксплойтов, проверку доступа и сбор данных.
OALABS получили и проанализировали рабочую директорию злоумышленника, включая более 1 000 сессий агентов с журналами промптов, инструментов и нарушений политик.
В журналах нашли данные об атакующем, его CV, профиль LinkedIn и IP‑адрес, указывающий на местоположение в Аддис-Абебе, Эфиопия.