Un atacator fără experiență a compromis cel puțin 14 companii folosind agenți AI precum Claude Code și Codex, care au făcut aproape toată munca. Cercetătorii de la OALABS au recuperat peste 1.000 de sesiuni ale acestuia. În tot acest interval, Claude a semnalat doar nouă încălcări de politică, iar Codex una singură.
Cazul a ieșit la iveală printr-o greșeală elementară. Atacatorul nu rula agenții pe infrastructura proprie, ci pe un server compromis, care aparținea altcuiva. Când proprietarul a observat activitatea suspectă, a descărcat întregul director de lucru și l-a predat cercetătorilor de la OALABS.
Cum a fost identificat atacatorul din Addis Abeba
Fiindcă agenții rulau local pe acel server, jurnalele complete de sesiune au rămas atașate. Asta a expus prompturile, uneltele folosite și raționamentul intern al modelelor. Practic, o hartă completă a fiecărei operațiuni.
În mijlocul acestor sesiuni, cercetătorii au găsit chiar CV-ul atacatorului. Documentul conținea numele complet, istoricul educației și profilul de LinkedIn, pentru că omul îi ceruse aceluiași agent Claude să îi corecteze CV-ul. Ulterior, în timp ce verifica un posibil atac asupra unuia dintre serverele sale, și-a confirmat din greșeală și adresa IP de acasă.
Pe baza acestor indicii, OALABS crede că este vorba despre un tânăr din Addis Abeba, Etiopia. Nivelul lui redus de pregătire reiese și din prompturi, scurte și pline de greșeli, de tipul „recon this”. Agentul completa singur restul.
Cum a trecut atacatorul de barierele lui Claude
Modelele folosite au fost Claude Code, pe Opus 4.5, și Codex, pe GPT-5.2. Niciunul nu este un model de vârf al Anthropic sau OpenAI, ci variante accesibile publicului larg. Chiar și așa, agentul a scris cod de exploit, a validat accesul și a extras date.
Metoda de ocolire a fost banală. Atacatorul afirma că face parte dintr-un exercițiu de red team autorizat sau cercetare în securitate. Când modelul ezita, reformula cererea într-un ton mai puțin agresiv. În peste 1.000 de sesiuni, tactica a funcționat aproape de fiecare dată.
Pentru fiecare țintă compromisă, Claude genera un „PENTEST-REPORT” cu estimări în dolari pentru datele obținute. Tot aici modelele au ridicat majoritatea alertelor, sesizând corect că monetizarea datelor furate nu ține de un test legitim. Atacatorul a primit totuși o listă de strategii, de la extorcare până la vânzarea accesului. Cercetătorii nu au găsit însă nicio dovadă că vreo tranzacție s-ar fi finalizat.
De ce contează cazul pentru companiile din România
Pentru firmele românești, episodul este un semnal direct. Serverele expuse, parolele slabe și serviciile lăsate deschise pe internet sunt exact tipul de țintă pe care un agent AI le identifică în câteva minute. Nu mai e nevoie de un atacator priceput, ci doar de unul cu răbdare și acces la un model public.
Piața locală de IMM-uri, cu bugete reduse de securitate, este cea mai vulnerabilă. Multe companii din România nu au nici măcar o inventariere clară a serviciilor expuse public. Costul de intrare în cybercrime scade, iar apărarea rămâne la fel de scumpă ca înainte.
Există o soluție reală?
Problema de fond este că exprimarea care a păcălit filtrele, „red team autorizat” sau „cercetare în securitate”, este aceeași folosită zilnic de mii de profesioniști legitimi. Fără context despre intenția reală, un model nu poate face diferența.
O restricționare agresivă i-ar afecta mai mult pe apărători decât pe atacatori. Aceștia din urmă pot trece oricând la modele mai vechi sau la variante open-weight rulate local, unde barierele sunt aproape inexistente.
Cazul documentat de OALABS confirmă un tipar deja observat în 2026, după breșa din martie asupra unor agenții guvernamentale din Mexic, realizată tot cu un model comercial deghizat în exercițiu autorizat. Diferența dintre 2026 și anii anteriori nu ține de puterea modelelor, ci de faptul că un atacator novice poate acum să automatizeze integral un lanț de atac pe care înainte îl puteau duce doar operatori experimentați.






