Ang tigdukiduki sa cybersecurity nga si Mohan Pedhapati giingnan, gamit ang Anthropic Claude Opus 4.6 AI model aron pagsulat og kompletong exploit chain aron ma-hack ang V8 JavaScript engine sa Google Chrome 138, nga mao ang nagpadagan sa kasamtangang Discord client.
Ang proseso sa pagsulat sa exploit chain mikabat ug usa ka semana, sumala sa report sa researcher, nga migasto ug 2,3 bilyones nga tokens ug $2283 para sa pag-access sa AI model pinaagi sa API. Mitampo usab siya sa iyang kaugalingong paningkamot, nga migasto ug total nga 20 ka oras sa pagsulbad sa mga deadlock. Ang gasto sa paghimo sa hacking scheme daw dako para sa usa ka solo developer, giangkon ni Mohan Pedhapati; sa laing bahin, ang susamang proyekto mokabat ug pipila ka semana aron makompleto kung walay tabang. Napamatud-an usab nga mapuslanon ang proyekto sa ekonomiya—ang ganti gikan sa Google ug Discord para sa pagreport sa ingon nga exploit moabot ug mga $15,000. Ug kana para lang sa lehitimong merkado—ang mga cybercriminal mahimong mobayad ug mas taas nga presyo para sa zero-day vulnerability.
Daghang serbisyo ang nagpagawas sa ilang mga app sa Electron framework, nga gibase sa Chrome—kini dili lang sa Discord apan lakip na usab sa Slack, pananglitan. Bisan pa, ang kasamtangang code sa framework usa ka bersyon nga mas ulahi kay sa browser, ug ang mga developer sa app dili kanunay nga mag-update dayon sa mga dependency, ni ang mga tiggamit kanunay nga mag-install sa pinakabag-ong mga bersyon sa app. Gipili sa tagsulat ang Discord client tungod kay kini nagdagan sa Chrome 138, nga nagpasabut nga kini siyam ka dagkong bersyon nga mas ulahi kay sa kasamtangang bersyon sa browser.
Bisan kinsang bag-ong programmer, gipunting ni Mohan Pedhapati, nga adunay igong pailub ug API key aron maka-access sa usa ka AI model, maka-hack sa wala pa ma-patch nga software—"usa kini ka butang sa panahon, dili probabilidad." Dugang pa, "ang matag patch sa tinuud usa ka timaan alang sa usa ka exploit," tungod kay ang mga open-source nga proyekto gihimo nga transparent, nagpasabut nga ang mga pag-ayo kanunay nga magamit sa publiko sa code bisan sa wala pa ipagawas ang usa ka kompleto nga update. Aron mapanalipdan ang mga aplikasyon gikan sa ingon nga mga pag-atake, girekomenda sa eksperto ang mas maampingong pagmonitor sa mga dependency ug dali nga pagpatuman sa mga pagbag-o, ingon man ang pagpagawas sa mga security patch nga awtomatiko aron mapugngan ang software sa tiggamit nga magpabilin nga huyang kung ang usa ka update nakalimtan lang. Sa katapusan, ang mga open-source nga proyekto kinahanglan nga mag-amping sa pagmantala sa detalyado nga datos sa kahuyangan.
Source:
Source: 3dnews.ru
