Istraživač kibernetičke sigurnosti Mohan Pedhapati rekao sam, koristeći Anthropic Claude Opus 4.6 AI model za pisanje kompletnog lanca iskorištavanja za hakiranje V8 JavaScript enginea u Google Chromeu 138, koji pokreće trenutni Discord klijent.
Proces pisanja lanca iskorištavanja trajao je tjedan dana, izvijestio je istraživač, potrošivši 2,3 milijarde tokena i 2283 dolara za pristup AI modelu putem API-ja. Također je doprinio vlastitim naporima, provevši ukupno 20 sati rješavajući zastoje. Trošak stvaranja sheme hakiranja čini se značajnim za samostalnog programera, priznao je Mohan Pedhapati; s druge strane, sličan projekt bi trajao nekoliko tjedana bez pomoći. Projekt se također pokazao ekonomski isplativim - nagrada od Googlea i Discorda za prijavu takvog iskorištavanja može doseći oko 15.000 dolara. A to je samo za legitimno tržište - kibernetički kriminalci mogli bi platiti puno veću cijenu za zero-day ranjivost.
Mnogi servisi objavljuju svoje aplikacije na Electron frameworku, koji je pak baziran na Chromeu - to nije slučaj samo za Discord već i za Slack, na primjer. Međutim, trenutni kod frameworka zaostaje za verzijom preglednika, a programeri aplikacija ne ažuriraju uvijek odmah ovisnosti, niti korisnici uvijek instaliraju najnovije verzije aplikacija. Autor je odabrao Discord klijent jer radi na Chromeu 138, što znači da zaostaje devet glavnih verzija za trenutnom verzijom preglednika.
Mohan Pedhapati ističe da svaki programer početnik s dovoljno strpljenja i API ključem za pristup AI modelu može hakirati nezakrpan softver - "to je pitanje vremena, a ne vjerojatnosti". Štoviše, "svaka zakrpa je u biti nagovještaj za iskorištavanje", jer se projekti otvorenog koda razvijaju transparentno, što znači da su ispravci često javno dostupni u kodu čak i prije nego što se objavi potpuno ažuriranje. Kako bi zaštitio aplikacije od takvih napada, stručnjak preporučuje pažljivije praćenje ovisnosti i brzu implementaciju promjena, kao i automatsko objavljivanje sigurnosnih zakrpa kako bi se spriječilo da korisnički softver ostane ranjiv ako se ažuriranje jednostavno zaboravi. Konačno, projekti otvorenog koda trebali bi biti oprezni pri objavljivanju detaljnih podataka o ranjivostima.
Izvor:
Izvor: 3dnews.ru
