„Anthropic Claude Opus“ pokalbių robotas parašė „Google Chrome“ nulaužimo kodą vos už 2283 $
Kibernetinio saugumo tyrėjas Mohan Pedhapati papasakojo, kaip, pasitelkęs dirbtinio intelekto modelį Anthropic Claude Opus 4.6, sukūrė pilną išnaudojimo (exploit) grandinę, skirtą įsilaužti į Google Chrome 138 versijoje naudojamą JavaScript variklį V8, kuriuo remiasi ir aktualus Discord klientas.
Išnaudojimo grandinės kūrimo procesas truko savaitę, nurodė tyrėjas. Per tą laiką buvo sunaudota 2,3 mlrd. žetonų ir 2283 JAV doleriai už prieigą prie DI modelio per API; be to, jis pats įdėjo pastangų, iš viso praleisdamas apie 20 valandų spręsdamas aklavietes. Tokia įsilaužimo schemos kūrimo kaina vienam žmogui atrodo nemaža, pripažino Mohan Pedhapati, tačiau be pašalinės pagalbos analogiškas projektas būtų užtrukęs kelias savaites. Projektas pasirodė naudingas ir finansiškai — atlygis iš Google ir „Discord“ už tokio pažeidžiamumo atskleidimą gali siekti apie 15 000 $. Ir tai tik legalioji rinka — už nulinės dienos pažeidžiamumą kibernetiniai nusikaltėliai galėtų mokėti visai kitokias sumas.
Daugelis paslaugų kuria savo programas naudodamos Electron sistemą, kuri savo ruožtu paremta „Chrome“ — taip daro ne tik „Discord“, bet ir, pavyzdžiui, Slack. Tačiau aktualus framework’o kodas dažnai atsilieka viena versija nuo naršyklės, o programėlių kūrėjai ne visada operatyviai atnaujina priklausomybes, be to, ir vartotojai ne visada diegia naujausias versijas. „Discord“ klientą eksperimento autorius pasirinko todėl, kad jis veikia su „Chrome 138“, t. y. atsilieka nuo dabartinės naršyklės versijos devyniomis pagrindinėmis versijomis.
Bet kuris pradedantysis programuotojas, teigia Mohan Pedhapati, turėdamas pakankamai kantrybės ir API raktą prie DI modelio, gali nulaužti neatnaujintą programinę įrangą — „tai laiko, o ne tikimybės klausimas“. Be to, „kiekvienas pataisymas iš esmės yra užuomina exploit’ui“, nes atvirojo kodo projektai kuriami skaidriai, todėl pataisymai dažnai tampa viešai prieinami dar prieš išleidžiant visos programos atnaujinimą. Norint apsaugoti programas nuo tokių atakų, ekspertas rekomenduoja atidžiau stebėti pažeidžiamumus, operatyviai jas atnaujinti, taip pat diegti automatinius saugumo pataisymus, kad vartotojų programos neliktų pažeidžiamos vien todėl, kad atnaujinimas nebuvo įdiegtas. Galiausiai atvirojo kodo projektai turėtų atsargiau skelbti detalią informaciją apie pažeidžiamumus.