Výskumník kybernetickej bezpečnosti Mohan Pedhapati povedal som, pričom pomocou modelu umelej inteligencie Anthropic Claude Opus 4.6 napísal kompletný reťazec exploitov na hacknutie JavaScriptového enginu V8 v prehliadači Google Chrome 138, na ktorom beží aktuálny klient Discord.
Výskumník uviedol, že proces zápisu reťazca exploitov trval týždeň, pričom za prístup k modelu umelej inteligencie prostredníctvom API minul 2,3 miliardy tokenov a 2 283 dolárov. Prispel aj vlastným úsilím a celkovo 20 hodín strávil riešením deadlockov. Náklady na vytvorenie hackerskej schémy sa zdajú byť pre samostatného vývojára značné, pripustil Mohan Pedhapati; na druhej strane, podobný projekt by bez pomoci trval niekoľko týždňov. Projekt sa ukázal byť aj ekonomicky ziskový – odmena od spoločností Google a Discord za nahlásenie takéhoto exploitu môže dosiahnuť približne 15 000 dolárov. A to platí len pre legitímny trh – kyberzločinci by mohli za zraniteľnosť typu zero-day zaplatiť oveľa vyššiu cenu.
Mnohé služby vydávajú svoje aplikácie na frameworku Electron, ktorý je založený na prehliadači Chrome – to platí nielen pre Discord, ale napríklad aj pre Slack. Aktuálny kód frameworku je však o jednu verziu pozadu za kódom prehliadača a vývojári aplikácií nie vždy promptne aktualizujú závislosti, ani používatelia neinštalujú vždy najnovšie verzie aplikácií. Autor si vybral klienta Discord, pretože beží na prehliadači Chrome 138, čo znamená, že je o deväť hlavných verzií pozadu za aktuálnou verziou prehliadača.
Mohan Pedhapati zdôrazňuje, že každý začínajúci programátor s dostatočnou trpezlivosťou a kľúčom API na prístup k modelu umelej inteligencie dokáže hacknúť neopravený softvér – „je to otázka času, nie pravdepodobnosti“. Navyše „každá oprava je v podstate náznakom zneužitia“, pretože projekty s otvoreným zdrojovým kódom sa vyvíjajú transparentne, čo znamená, že opravy sú často verejne dostupné v kóde ešte pred vydaním úplnej aktualizácie. Na ochranu aplikácií pred takýmito útokmi expert odporúča dôkladnejšie monitorovanie závislostí a promptne implementovať zmeny, ako aj automatické vydávanie bezpečnostných záplat, aby sa zabránilo tomu, že používateľský softvér zostane zraniteľný, ak sa na aktualizáciu jednoducho zabudne. Napokon, projekty s otvoreným zdrojovým kódom by mali byť opatrné pri zverejňovaní podrobných údajov o zraniteľnostiach.
Zdroj:
Zdroj: 3dnews.ru
