Claude Opus chatbot antropikoak Google Chrome-ren ustiapen bat idatzi zuen 2283 dolarren truke.

Mohan Pedhapati zibersegurtasuneko ikertzailea esan nion, Anthropic Claude Opus 4.6 AI eredua erabiliz Google Chrome 138-ko V8 JavaScript motorra hackeatzeko exploit kate oso bat idazteko, egungo Discord bezeroa exekutatzen duena.

Claude Opus chatbot antropikoak Google Chrome-ren ustiapen bat idatzi zuen 2283 dolarren truke.

Exploitation katea idazteko prozesuak astebete iraun zuela jakinarazi zuen ikertzaileak, 2.300 milioi token eta 2283 dolar gastatuz API bidez AI eredua atzitzeko. Berak ere bere ahaleginak egin zituen, guztira 20 ordu emanez blokeoak konpontzen. Hacking eskema sortzearen kostua esanguratsua dirudi garatzaile bakar batentzat, onartu zuen Mohan Pedhapatik; bestalde, antzeko proiektu bat osatzeko hainbat aste beharko ziren laguntzarik gabe. Proiektua ekonomikoki ere errentagarria izan zen: Google-k eta Discord-ek eskaintzen duten saria, halako exploit baten berri emateagatik, 15.000 dolar ingurura irits daiteke. Eta hori merkatu legitimoarentzat bakarrik da: zibergaizkileek prezio askoz handiagoa ordaindu dezakete zero-day ahultasun batengatik.

Zerbitzu askok beren aplikazioak Electron framework-ean kaleratzen dituzte, eta hau, aldi berean, Chrome-n oinarrituta dago; hau ez da Discord-en kasua bakarrik, baita Slack-en ere, adibidez. Hala ere, framework-aren egungo kodea arakatzailearena baino bertsio bat atzerago dago, eta aplikazioen garatzaileek ez dituzte beti mendekotasunak berehala eguneratzen, ezta erabiltzaileek ere aplikazioen azken bertsioak instalatzen. Egileak Discord bezeroa aukeratu zuen Chrome 138-n exekutatzen delako, hau da, egungo arakatzailearen bertsioa baino bederatzi bertsio nagusi atzerago daudelako.

Mohan Pedhapatik adierazi duenez, edozein programatzaile hasiberrik, nahikoa pazientzia eta IA eredu batera sartzeko API gako batekin, software adabakirik gabekoa hackeatu dezake: "denbora kontua da, ez probabilitate kontua". Gainera, "adabaki bakoitza funtsean ustiapen baten zantzua da", kode irekiko proiektuak modu garden batean garatzen baitira, hau da, konponketak askotan kodean publikoki eskuragarri daude eguneratze osoa kaleratu aurretik ere. Aplikazioak eraso horietatik babesteko, adituak mendekotasunen jarraipen zorrotzagoa eta aldaketak berehala ezartzea gomendatzen du, baita segurtasun-adabakiak automatikoki kaleratzea ere, erabiltzaileen softwarea zaurgarri geratzea saihesteko eguneratze bat ahaztuz gero. Azkenik, kode irekiko proiektuek kontuz ibili beharko lukete ahultasun-datu zehatzak argitaratzerakoan.

Iturria:


Iturria: 3dnews.ru
Erosi hosting fidagarria DDoS babesa duten guneetarako, VPS VDS zerbitzariak πŸ”₯ Erosi webguneentzako ostatu fidagarria DDoS babesarekin, VPS VDS zerbitzariak | ProHoster