Mohan Pedhapati kiberbiztonsági kutató elmondtam, az Anthropic Claude Opus 4.6 mesterséges intelligencia modelljét használva egy teljes exploit lánc megírására, hogy feltörje a V8 JavaScript motort a Google Chrome 138-ban, amely a jelenlegi Discord klienst futtatja.
A kutató beszámolója szerint a támadási lánc megírásának folyamata egy hetet vett igénybe, 2,3 milliárd tokent és 2283 dollárt költött a mesterséges intelligencia modellhez való API-n keresztüli hozzáférésre. Saját erőfeszítéseit is hozzájárulta, összesen 20 órát töltött a patthelyzetek megoldásával. A hackertámadási rendszer létrehozásának költsége jelentősnek tűnik egy szóló fejlesztő számára, ismerte el Mohan Pedhapati; másrészt egy hasonló projekt több hétig is eltarthatott volna segítség nélkül. A projekt gazdaságilag is jövedelmezőnek bizonyult – a Google és a Discord jutalma egy ilyen támadási lánc bejelentéséért elérheti a 15 000 dollárt. És ez csak a legitim piac számára igaz – a kiberbűnözők sokkal magasabb árat fizethetnek egy nulladik napi sebezhetőségért.
Sok szolgáltatás az Electron keretrendszeren adja ki alkalmazásait, amely viszont Chrome-on alapul – ez nemcsak a Discord, hanem például a Slack esetében is így van. A keretrendszer jelenlegi kódja azonban egy verzióval elmarad a böngészőétól, és az alkalmazásfejlesztők nem mindig frissítik azonnal a függőségeket, és a felhasználók sem mindig telepítik a legújabb alkalmazásverziókat. A szerző azért választotta a Discord klienst, mert a Chrome 138-on fut, ami azt jelenti, hogy kilenc fő verzióval elmarad a jelenlegi böngészőverziótól.
Mohan Pedhapati rámutat, hogy bármely kezdő programozó, kellő türelemmel és egy MI-modell eléréséhez szükséges API-kulccsal, képes feltörni a javítatlan szoftvereket – „ez idő kérdése, nem valószínűség”. Sőt, „minden javítás lényegében egy utalás egy kihasználásra”, mivel a nyílt forráskódú projekteket átláthatóan fejlesztik, ami azt jelenti, hogy a javítások gyakran nyilvánosan elérhetők a kódban még a teljes frissítés kiadása előtt. Az alkalmazások ilyen támadásokkal szembeni védelme érdekében a szakértő a függőségek gondosabb monitorozását és a változtatások azonnali végrehajtását javasolja, valamint a biztonsági javítások automatikus kiadását, hogy megakadályozzák a felhasználói szoftverek sebezhetőségét, ha egy frissítést egyszerűen elfelejtenek. Végül a nyílt forráskódú projekteknek óvatosan kell eljárniuk a részletes sebezhetőségi adatok közzétételekor.
Forrás:
Forrás: 3dnews.ru
