Výzkumník kybernetické bezpečnosti Mohan Pedhapati řekl jsem, s využitím modelu umělé inteligence Anthropic Claude Opus 4.6 k napsání kompletního řetězce exploitů pro hacknutí JavaScriptového enginu V8 v prohlížeči Google Chrome 138, na kterém běží aktuální klient Discord.
Výzkumník uvedl, že proces napsání řetězce exploitů trval týden, přičemž za přístup k modelu umělé inteligence prostřednictvím API utratil 2,3 miliardy tokenů a 2 283 dolarů. Výzkumník také přispěl vlastním úsilím a celkem 20 hodin strávil řešením deadlocků. Náklady na vytvoření hackerského schématu se zdají být pro sólového vývojáře značné, připustil Mohan Pedhapati; na druhou stranu by podobný projekt bez pomoci trval několik týdnů. Projekt se také ukázal jako ekonomicky ziskový – odměna od Googlu a Discordu za nahlášení takového exploitu může dosáhnout až 15 000 dolarů. A to platí pouze pro legitimní trh – kyberzločinci by za zranitelnost typu zero-day mohli zaplatit mnohem vyšší cenu.
Mnoho služeb vydává své aplikace na frameworku Electron, který je zase založen na Chrome – to platí nejen pro Discord, ale například i pro Slack. Aktuální kód frameworku je však o jednu verzi pozadu za kódem prohlížeče a vývojáři aplikací ne vždy včas aktualizují závislosti, ani uživatelé neinstalují vždy nejnovější verze aplikací. Autor si vybral klienta Discord, protože běží na Chrome 138, což znamená, že je o devět hlavních verzí pozadu za aktuální verzí prohlížeče.
Mohan Pedhapati zdůrazňuje, že každý začínající programátor s dostatečnou trpělivostí a klíčem API pro přístup k modelu umělé inteligence dokáže hacknout neopravený software – „je to otázka času, nikoli pravděpodobnosti“. Navíc „každá oprava je v podstatě náznakem zneužití“, protože open-source projekty jsou vyvíjeny transparentně, což znamená, že opravy jsou často veřejně dostupné v kódu ještě před vydáním kompletní aktualizace. Aby se aplikace před takovými útoky chránily, expert doporučuje pečlivější sledování závislostí a rychlé implementace změn, jakož i automatické vydávání bezpečnostních oprav, aby se zabránilo tomu, že uživatelský software bude i nadále zranitelný, pokud se na aktualizaci jednoduše zapomene. A konečně, open-source projekty by měly být opatrné při zveřejňování podrobných údajů o zranitelnostech.
Zdroj:
Zdroj: 3dnews.ru
