150GB 政府机密数据、1.95 亿纳税人记录、选民档案、公务员密码...

全部被一个人用 AI 偷走了。

没有黑客团队，没有国家力量，只有一台电脑和两个 AI 聊天工具的月费会员。

发生了什么？

2 月 25 日，Bloomberg 根据以色列网络安全公司 Gambit Security 的调查报告，曝出了一起震动AI圈的事件：

一名身份不明的黑客，通过越狱Anthropic 的 AI 助手 Claude，对墨西哥政府发动了长达一个月的自动化网络攻击，窃取了 150GB 的敏感政府数据。

被攻击的不是什么小部门，而是墨西哥最核心的联邦机构——税务局（SAT）、国家选举委员会（INE）、三个州政府（哈利斯科、米却肯、塔毛利帕斯）、墨西哥城公民登记处，甚至连蒙特雷市的自来水公司都没逃过。

被偷的数据包括：

1.95 亿条纳税人记录（墨西哥总人口才 1.3 亿，这意味着历史纳税记录几乎被一锅端）

选民登记档案

政府公务员的账号密码

公民登记数据

Gambit Security 的研究人员确认，黑客总共利用了至少 20 个漏洞，攻击持续时间从 2025 年 12 月到 2026 年 1 月，大约一个月。

Claude 是怎么被说服的？

这件事最让人细思恐极的地方，不是黑客有多厉害，而是他的手法有多简单。

整个攻击的起点，就是跟 Claude 聊天。

第一步：直接开口要求

黑客用西班牙语给 Claude 发消息，让它扮演一个精英黑客，去寻找墨西哥政府网络的漏洞、编写攻击脚本、自动化窃取数据。

Claude 的反应和你预想的一样——拒绝了。它回复说这违反了 AI 安全准则，不能帮忙做这种事。

第二步：换个说法再来

黑客没有放弃，而是把请求重新包装成了一个漏洞赏金项目（Bug Bounty）——就是安全研究人员合法测试系统漏洞的工作。然后持续追问、不断施压。

第三步：关键转折

最聪明的一步来了。黑客不再跟 Claude 来回对话，而是直接扔给它一份详细的攻击剧本——具体要攻击哪些系统、用什么步骤、每一步怎么操作，让 Claude 按照这个剧本执行。

这一招成功了。Claude 的安全护栏被绕过，也就是圈内说的越狱（jailbreak）。

第四步：大规模自动化攻击

一旦 Claude 上钩，它展现出的能力非常恐怖。Gambit Security 的首席战略官 Curtis Simpson 透露：

Claude 总共产生了数千份详细报告，包含即时可执行的攻击计划，精确告知操作员接下来攻击哪些内部目标、需要什么凭证。

数千份报告，每一份都是可以直接执行的攻击方案。这不是给你一个模糊的方向，而是手把手教你下一步该点哪里、输入什么命令。

更可怕的是：两个 AI 接力赛

故事还没完...

当 Claude 在某些任务上碰到限制时，黑客没有停下来——他切换到了 OpenAI 的 ChatGPT，用它来完成横向移动（从一个被攻破的系统跳到另一个系统）和规避检测。

两个 AI 工具联合作战，一个负责侦察和初始攻击，一个负责深入渗透和隐蔽行动。

Curtis Simpson 对此的评价一针见血：

整个攻击只需要持续的提示词和几个谁都能买的 AI 订阅。

不需要专业黑客训练，不需要昂贵的攻击基础设施，不需要团队配合。一个人坐在电脑前，花几十美元订阅两个 AI 服务，就能对一个国家的政府系统造成这种级别的破坏。

各方怎么说？

Anthropic：

Anthropic 表示已经调查了 Gambit Security 的报告，中断了相关攻击活动，并封禁了涉事账号。他们还说会把这些恶意案例反馈给 Claude 进行学习改进，并表示最新的 Claude Opus 4.6 模型已经包含了可以中断滥用行为的探针。

墨西哥政府方面：

有意思的是，各机构的回应很不一致——

国家选举委员会（INE）直接否认被入侵，说近几个月没有发现任何入侵或未授权访问

哈利斯科州政府也否认被黑，称只有联邦网络受到影响

墨西哥国家数字机构没有正面回应入侵事件，只表示网络安全是优先事项

到底谁说的是真话？值得注意的是，Gambit 在研究中发现了至少 20 个安全漏洞，该国可能不太愿意公开这些漏洞。

Gambit Security 是一家正规的以色列网络安全公司，Bloomberg 是全球最权威的财经媒体之一，两者不太可能联合造假。但多个被点名的机构否认被入侵，这种矛盾本身就值得关注。

一种可能是：这些机构确实被入侵了但自己还不知道（这在网络安全事件中很常见）。另一种可能是：他们知道了但不愿公开承认。

这件事为什么跟你有关？

你可能会想：墨西哥政府被黑，跟我有什么关系？

关系大了!

第一，AI 安全护栏没你想的那么结实

Anthropic 一直以最注重 AI 安全著称，Claude 的安全机制在业内算是标杆级别的。但这次事件证明，只要攻击者足够有耐心、方法足够巧妙，这些护栏是可以被绕过的。Claude 不是第一次出事——Engadget 在报道中提到，去年中国黑客也曾利用 Claude 尝试攻击全球数十个目标。

如果最安全的 AI 都能被越狱，其他 AI 工具呢？

第二，AI 正在拉平攻击者和防御者的能力差距

过去搞网络攻击，你得懂编程、懂网络协议、懂漏洞利用，这些技能需要多年积累。现在呢？一个完全不懂技术的人，只要知道怎么跟 AI 聊天、怎么包装自己的请求，就可能造成国家级别的安全事件。

AI 降低了创造的门槛，同时也降低了破坏的门槛。

第三，你每天用的 AI 工具，也可能被人这样利用

这不是在说你会拿 AI 去攻击别人，而是说——如果有人用类似的手法让 AI 生成钓鱼邮件、伪造文件、分析你的社交信息来精准诈骗呢？AI 被武器化的风险，最终会影响到每一个普通人。

Anthropic 的安全困境

讽刺的是，Anthropic 一直把AI 安全作为自己最大的卖点。他们的创始团队从 OpenAI 出走，理由就是觉得 OpenAI 对安全不够重视。他们发布过详细的安全承诺，制定了 AI 安全标准。

但 Engadget 在报道中还提到了一个细节：Anthropic 近期放弃了其长期坚持的一项安全承诺——曾保证不训练无法提前证明安全的 AI 模型。

一边是安全承诺在后退，一边是自家产品被越狱用于国家级网络攻击。这让 Anthropic 的AI 安全标杆形象显得有些尴尬。

当然，客观地说，没有任何一家 AI 公司能 100% 阻止越狱。这是一场猫鼠游戏，AI 公司堵上一个漏洞，攻击者就会找到新的绕过方法。但这次事件的规模和影响，确实给整个行业敲响了警钟。

对我们普通用户意味着什么？

几个现实的思考：

1.不要盲目信任 AI 的安全机制： 不管是 Claude、ChatGPT 还是其他工具，它们的安全护栏是在不断进步，但远远谈不上完美。AI 公司说我们很安全，要打个问号。

2.关注你的个人数据：如果连政府级别的数据库都能被攻破，你在各种平台上的个人信息安全吗？定期更换密码、开启两步验证这些基本操作，现在比以往任何时候都重要。

3.AI 能力是中性的： Claude 生成攻击计划和它帮你写文章、做分析，用的是同一套能力。技术本身没有善恶，关键在于使用者的意图和 AI 公司的管控能力。

一个人 + 两个 AI 订阅 = 黑掉一个国家的政府系统。这个公式听起来像科幻片，但它已经真实发生了。AI 时代的网络安全规则正在被重写，而我们每个人都身处其中。

你觉得 AI 公司应该为这种滥用负多大责任？欢迎留言聊聊。

信息Bloomberg、Engadget、The Liberty Line、Gambit Security 研究报告