U ricercatore di cibersigurtà Mohan Pedhapati hà dettu, aduprendu u mudellu AI Anthropic Claude Opus 4.6 per scrive una catena cumpleta di exploit per pirate u mutore JavaScript V8 in Google Chrome 138, chì esegue l'attuale cliente Discord.
U prucessu di scrittura di a catena di exploit hà pigliatu una settimana, hà dettu u ricercatore, spendendu 2,3 miliardi di gettoni è $ 2283 per accede à u mudellu AI via API. Hà ancu cuntribuitu i so sforzi, passendu un totale di 20 ore à risolve i blocchi. U costu di creazione di u schema di pirateria pare significativu per un sviluppatore solu, hà ammessu Mohan Pedhapati; invece, un prughjettu simile averia pigliatu parechje settimane per esse cumpletatu senza assistenza. U prughjettu hà ancu dimustratu prufittuosu ecunomicamente - a ricumpensa da Google è Discord per a segnalazione di un tale exploit pò ghjunghje à circa $ 15.000. È questu hè solu per u mercatu legittimu - i cibercriminali puderanu pagà un prezzu assai più altu per una vulnerabilità zero-day.
Parechji servizii pubblicanu e so app nantu à u framework Electron, chì hè à u so tornu basatu annantu à Chrome - questu hè u casu micca solu per Discord ma ancu per Slack, per esempiu. Tuttavia, u codice attuale di u framework hè una versione daretu à quellu di u navigatore, è i sviluppatori di app ùn aghjurnanu micca sempre prontamente e dipendenze, nè l'utilizatori installanu sempre l'ultime versioni di l'app. L'autore hà sceltu u cliente Discord perchè funziona nantu à Chrome 138, vale à dì chì hè nove versioni principali daretu à a versione attuale di u navigatore.
Ogni prugrammatore principiante, Mohan Pedhapati face nutà, cù abbastanza pacienza è una chjave API per accede à un mudellu di IA, pò pirate un software senza patch - "hè una questione di tempu, micca di probabilità". Inoltre, "ogni patch hè essenzialmente un indiziu per un exploit", perchè i prughjetti open-source sò sviluppati in modu trasparente, ciò chì significa chì e correzioni sò spessu dispunibili publicamente in u codice ancu prima chì un aghjurnamentu cumpletu sia liberatu. Per prutege l'applicazioni da tali attacchi, l'espertu raccomanda un monitoraghju più attentu di e dipendenze è l'implementazione rapida di i cambiamenti, è ancu a liberazione automatica di patch di sicurezza per impedisce à u software di l'utente di rimanere vulnerabile se un aghjurnamentu hè semplicemente dimenticatu. Infine, i prughjetti open-source devenu esse prudenti quandu pubblicanu dati dettagliati di vulnerabilità.
Source:
Source: 3dnews.ru
