Коммерческие ИИ-модели Claude от Anthropic и GPT от OpenAI якобы использовались в кибератаке на муниципального поставщика водоснабжения и водоотведения в Мексике. Об этом сообщила компания Dragos, специализирующаяся на защите промышленных и операционных сред. По данным исследователей, атака началась с серьёзной компрометации IT-инфраструктуры, а затем перешла в попытку доступа к OT-среде, отвечающей за технологические процессы.
Инцидент затронул организацию в агломерации Монтеррея и происходил с декабря 2025 года по февраль 2026 года. Dragos изучила 350 артефактов, связанных с атакой. Большая часть из них представляла собой вредоносные скрипты, сгенерированные при помощи ИИ и использованные как наступательные инструменты в ходе вторжения.
Атрибуция атаки остаётся неясной. Dragos публично не назвала конкретную группировку и не связала инцидент с известным актором. Сам отчёт значим другим, Исследователи утверждают, что злоумышленники задействовали коммерчески доступные ИИ-инструменты сразу для нескольких задач:

планирование проникновения в инфраструктуру;
анализ собранных данных и документации;
ускорение действий внутри сети жертвы;
адаптация тактики в реальном времени;
генерация вредоносных скриптов под задачу.

Интересно, что 350 артефактов из одной атаки на водоканал оказались в большинстве своём ИИ-сгенерированными скриптами, и это уже не разовый случай.

По оценке Dragos, Claude AI применялся как основной технический исполнитель в ходе вторжения. Модель использовали для диалогового взаимодействия, планирования проникновения, разработки вредоносных инструментов и их развёртывания. Claude в этой атаке, по версии исследователей, помогал злоумышленникам действовать как более организованная техническая команда.
Модели GPT от OpenAI применялись в аналитических задачах. Они помогали обрабатывать собранные данные и генерировать материалы на испанском языке. Подобный навык значим для работы с локальным контекстом, документами, внутренними названиями и операционной информацией мексиканской организации.
Самой неприятной частью отчёта стало использование ИИ для работы с промышленной средой. Dragos утверждает о применении Claude для нескольких чувствительных задач:

анализ документации поставщиков по SCADA-системам;
разбор архитектуры водного объекта;
формирование списков стандартных учётных данных;
подбор подходов для атак перебором паролей;
поиск типовых слабых мест в OT-сетях.

Попытка взлома OT-среды в итоге не удалась. Исследователи считают сам ход атаки предупреждением для операторов критической инфраструктуры. Злоумышленники не имели предыдущего опыта целевых атак на OT, но ИИ помог им увидеть путь от скомпрометированной IT-среды к технологической инфраструктуре.
Ассоциированный главный исследователь противников Dragos Jay Deen написал о роли коммерческих ИИ-инструментов в раскрытии операционной среды для атакующих без прежней цели в OT-направлении. По его словам, распространение коммерческих ИИ-инструментов как помощников при вторжении повышает видимость OT для атакующих внутри IT-сетей.
Раньше переход из IT в OT требовал специализированной экспертизы, знания промышленных протоколов и понимания SCADA. Сейчас часть работы атакующий делегирует ИИ с возможностью читать документы, объяснять архитектуру и предлагать варианты дальнейших действий.

Эксперты уточняют, что злоумышленникам теперь не нужны промышленные инженеры в команде, поскольку Claude и GPT неплохо разбирают SCADA-документацию по запросу.

Здесь нет необходимости представлять ИИ автономным хакером, взломавшим водоканал самостоятельно. Опаснее приземлённая картина с человеком, получающим доступ к IT-среде, выгружающим документы, задающим вопросы модели и постепенно строящим маршрут к OT. Подобная связка эффективнее одиночного злоумышленника без промышленного опыта.
Dragos рекомендует операторам OT усиливать контроль удалённого доступа и применять строгую аутентификацию. Удалённые подключения к промышленным системам не должны быть продолжением офисной сети без дополнительных барьеров. Доступ к OT должен быть отделён, контролируем, журналируются и ограничены по ролям.
Для водоснабжения подобные атаки крайне чувствительны. OT-среда управляет процессами, связанными с насосами, очисткой, давлением, распределением воды и работой инженерных объектов. Даже неудачная попытка доступа показывает интерес преступников к коммунальным системам.
Исследование Dragos развивает более ранние выводы Gambit Security об атаках на государственные структуры и операторов инфраструктуры в Мексике. Тогда сообщалось о компрометации данных миллионов людей. Сейчас фокус смещается от утечки персональной информации к попыткам движения в сторону промышленных систем.
Рост Anthropic выглядит двусмысленно. Ранее сообщалось о росте спроса на Claude и Claude Code в 1 квартале 2026 года в 80 раз против ожидаемого 10-кратного. Генеральный директор Anthropic Дарио Амодеи заявил об этом на конференции разработчиков в Сан-Франциско. Из-за подобного скачка компании понадобились дополнительные вычислительные мощности, и Anthropic заключила сделку со SpaceX с доступом к дата-центру Colossus 1 в Мемфисе.
Популярность Claude Code объясняет проникновение ИИ в разработку, анализ кода и технические задачи. К февралю 2026 года продукт приносил более 2,5 млрд долларов в годовом выражении. Чем шире применяются подобные инструменты, тем выше вероятность их использования не только защитниками и разработчиками, но и атакующими.
Для самих разработчиков ИИ это означает усиление давления со стороны регуляторов, клиентов и отрасли ИБ. Возникнет запрос на новые меры защиты:

более строгие механизмы обнаружения злоупотреблений;
ограничение опасных инструкций для моделей;
мониторинг подозрительных цепочек запросов;
специальные режимы для работы с OT-тематикой;
усиленная фильтрация запросов про SCADA и АСУ ТП.

Полностью запретить ИИ разбирать промышленную документацию невозможно и вредно. Подобные модели нужны защитникам, инженерам, аудиторам, разработчикам и исследователям. Проблема кроется не в самом знании, а в контексте применения.
Эксперты редакции CISOCLUB отмечают, что отчёт Dragos показывает превращение ИИ из абстрактной угрозы в практический ускоритель атак на стыке IT и OT. По мнению редакции, даже неудачная попытка доступа к технологической среде в Мексике должна насторожить операторов критической инфраструктуры. Защита OT больше не может рассчитывать на отсутствие у злоумышленника знаний о промышленных системах. Часть этого пробела теперь закрывает коммерческий ИИ, и подобная реальность требует пересмотра защитных стратегий уже сейчас, пока следующий водоканал или электросеть не оказались на месте мексиканской жертвы.