Anthropic mapeia 832 atacantes contra o MITRE ATT&CK: o LLM ATT&CK Navigator e o que ele revela sobre o crime com IA

Resumo: A Anthropic publicou em junho de 2026 o LLM ATT&CK Navigator, uma análise que mapeia 832 contas banidas por uso malicioso do Claude — e 13.873 ações concretas — contra o framework MITRE ATT&CK. O estudo cobre o período de março de 2025 a fevereiro de 2026, foi feito em parceria com o time de Frontier Red, e parte dele alimentou o Verizon Data Breach Investigations Report (DBIR) 2026. A leitura é sóbria: a IA generativa virou ferramenta operacional do crime cibernético, mas, por enquanto, amplia técnicas conhecidas em vez de inventar novas.

O que a Anthropic mostrou

O time de Frontier Red da Anthropic vinha, há mais de um ano, registrando casos em que o Claude foi usado por atores hostis. O movimento desta semana foi sistematizar esses casos. A empresa olhou para 832 contas que receberam ação de aplicação de política por violação grave da AUP entre março de 2025 e fevereiro de 2026, observou 13.873 ações distintas e classificou cada uma contra as 14 táticas e 482 técnicas conhecidas do MITRE ATT&CK — o catálogo público mais usado por times de Threat Intel no mundo.

O resultado virou uma ferramenta interativa, o LLM ATT&CK Navigator, que permite ver onde o uso malicioso de IA está concentrado. A Anthropic também propôs uma métrica nova: a ARiES (AI Risk Enablement Score), que dá uma nota de 0 a 100 ao quanto a IA contribuiu para a operação ofensiva de cada ator. Dois terços dos atores observados usaram o Claude para ajudar a escrever malware.

Os números que importam

• 13.873 ações registradas, em 482 técnicas e em todas as 14 táticas ATT&CK.
• Em caso mediano, o ator pediu ajuda em ~15 técnicas distintas — sinal de uso operacional contínuo, não pontual.
• 44% do uso ofensivo ligado a “acesso inicial” foi voltado a phishing.
• Menos de 2,5% das técnicas observadas foram classificadas como raras — quase tudo se encaixa em playbooks já conhecidos.
• Pela primeira vez, foi documentado um ataque executado por IA em nome de um ator estatal.

Por que isso importa

Há um debate de bastidor há dois anos: a IA realmente está dando “superpoderes” ao atacante, ou só acelera o que ele já fazia? Os dados da Anthropic puxam o consenso para o segundo lado, com uma nuance: aceleração em escala é, na prática, um superpoder. Escrever 50 variantes de e-mail de phishing personalizado em quinze minutos, traduzir engenharia social para sete idiomas, ou refatorar um trojan em uma noite muda a equação econômica do crime. O resultado é mais ataques, melhor adaptados — e times de defesa que precisam tratar phishing, malware variante e infostealers como eventos rotineiros, não exceções.

Status no Brasil

O Brasil já é alvo prioritário de phishing, fraudes via WhatsApp e infostealers — e tem um time de resposta a incidentes federal (o CERT.br) que vem alertando há meses para o aumento de campanhas com texto bem escrito e contexto local convincente. O cruzamento entre as observações da Anthropic e o que o CTIR Gov, a CTI da Febraban e empresas como Tempest e Apura têm reportado é direto: campanhas que antes pareciam “phishing brasileiro mal-feito” agora vêm com português impecável, referências corretas a bancos e órgãos públicos, e capacidade de manter conversa em vários idiomas — sinal típico de uso de LLM. Para quem trabalha em SOC no Brasil, a recomendação prática é:

• Incorporar nas regras do MITRE ATT&CK em vigor a categoria “AI-assisted” como tag, separando casos com indicadores de geração por LLM (estilo, latência de criação, padrões de prompt vazados).
• Reforçar treinamento contra spear-phishing — porque o “errinho de português” já não é mais alarme confiável.
• Incluir indicadores de IA generativa no fluxo de threat hunting: instalação de bibliotecas de scraping fora do padrão, prompts vazados em pacotes, prompts de jailbreak em logs de proxy.

Riscos e limitações do estudo

É importante ler com cuidado. Primeiro, a Anthropic só vê o que passa pelo Claude — atacantes que usam modelos open-source rodando localmente, ou modelos sem moderação, ficam invisíveis. Segundo, os 832 atores foram aqueles que foram banidos — ou seja, deixaram rastro o suficiente para serem detectados. Atacantes mais sofisticados podem nunca aparecer. Terceiro, o framework ATT&CK é excelente para descrever técnicas conhecidas, mas não captura bem usos “para-criminais” da IA, como manipulação política e influência em redes, que estudos paralelos têm mostrado.

Cenário e indicativo de futuro

A combinação dos achados com o DBIR 2026 deixa o mapa razoavelmente claro para os próximos doze meses. Devemos ver: mais campanhas multinacionais que reusam o mesmo “kit de phishing assistido por IA” em vários idiomas; uso crescente de IA para reconhecimento (varredura de organogramas no LinkedIn, identificação de cadeias de fornecedores frágeis); e ataques cada vez mais cedo no funil — engenharia social contra equipes de TI, helpdesks e fornecedores. Em resposta, é provável que provedores como Anthropic, OpenAI e Google publiquem com mais frequência seus próprios “boletins de uso ofensivo”, e que reguladores (especialmente na Europa e nos EUA, possivelmente no Brasil via Anatel/ANPD) passem a exigir esse tipo de transparência.

Conclusão prática

Se você é responsável por segurança, vale incorporar três coisas no plano dos próximos 90 dias: (1) treinar o time em phishing assistido por IA, com exemplos reais; (2) ajustar o detalhamento do mapeamento MITRE ATT&CK do seu SOC para registrar suspeita de uso de LLM; (3) revisar contratos com provedores de IA que sua empresa usa, garantindo cláusulas claras sobre logs, retenção e cooperação em casos de incidente. A leitura do estudo da Anthropic, lado a lado com o DBIR 2026, é um bom briefing para a próxima reunião de comitê.

Fonte original: Anthropic Research — Mapping AI-enabled cyber threats: Insights from the LLM ATT&CK Navigator.