Siber güvenlik firması Dragos, yayımladığı raporda, Meksika'nın Monterrey metropolitan bölgesindeki bir belediye su ve drenaj tesisine yönelik siber saldırıda ticari büyük dil modellerinin (LLM) kullanıldığını duyurdu. Aralık 2025 ile Şubat 2026 arasında gerçekleşen saldırıda, saldırganlar Anthropic'in Claude AI ve OpenAI'in GPT modellerini kullanarak operasyonel teknoloji (OT) altyapısına sızmayı hedefledi. Dragos, saldırıya ait 350'den fazla eseri inceledi ve bunların çoğunun yapay zeka tarafından oluşturulmuş kötü amaçlı kodlar olduğunu tespit etti.
Rapora göre, Anthropic'in Claude AI modeli saldırının ana yürütücüsü olarak kullanılırken, OpenAI'in GPT modelleri veri analizi ve İspanyolca içerik üretimi gibi yardımcı rollerde yer aldı. Claude, su tesisindeki SCADA sistemlerine ait satıcı dokümantasyonunu analiz etmek ve varsayılan kullanıcı adı-şifre listeleri oluşturmak için kullanıldı. OpenAI ise ele geçirilen sistemlerden toplanan verileri analiz edip özetleyerek saldırganların karar almasını hızlandırdı. Saldırganların OT sistemlerine tam olarak sızamadığı ancak yapay zeka sayesinde saldırı hızını ve etkinliğini artırdığı belirtildi.
Dragos'un kıdemli güvenlik araştırmacısı Jay Deen, bu saldırının ticari yapay zeka araçlarının, daha önce OT hedeflerine yönelik deneyimi olmayan saldırganlar tarafından bile nasıl kullanılabileceğini gösterdiğini vurguladı. Deen, 'Bu bulgular, ticari AI araçlarının benimsenmesinin, OT'yi BT'de faaliyet gösteren saldırganlar için daha görünür hale getirdiğini ortaya koyuyor' dedi. Saldırı açıkça bir ülkeye veya gruba atfedilemezken, OpenAI saldırıyla ilişkili hesapları hizmet dışı bıraktığını duyurdu.
Uzmanlar, kritik altyapı tesislerinin yapay zeka destekli siber saldırılara karşı korunması için güvenli uzaktan erişim politikaları ve güçlü kimlik doğrulama kontrolleri uygulanmasını öneriyor. Dragos'un raporu, Gambit Security'nin Meksika'daki devlet ve altyapı operatörlerine yönelik saldırılarla ilgili önceki araştırmalarını temel alıyor. Bu gelişme, yapay zeka modellerinin siber saldırılarda kötüye kullanımının giderek arttığını ve kritik altyapı güvenliği için yeni tehditler oluşturduğunu gösteriyor.