Клод Код взламывает FreeBSD в течение четырех часов

Исследователь в области безопасности Николас Карлини, поддерживаемый моделью искусственного интеллекта Anthropic Клодаобнаружил уязвимость в операционной системе FreeBSD и использовал ее в течение четырех часов. Клод также смог создать рабочий эксплойт. Уязвимость была заявлена как CVE-2026-4747.

Операционная система FreeBSD служит основой для широкого спектра продуктов во многих технических отраслях. Такие компании, как IBM, Nokia, Juniper Networks и NetApp, используют эту систему для развития своих инфраструктур. Части macOS Apple также основаны на компонентах FreeBSD.

В индустрии развлечений элементы FreeBSD можно найти в операционных системах PlayStation 3, PlayStation 4 и Nintendo Switch. Кроме того, масштабные сетевые сервисы, такие как Netflix и WhatsApp, опираются на архитектуру этой системы. Уязвимость находится в модуле RPCSEC_GSS, который отвечает за аутентификацию Kerberos на серверах NFS.

Эксплуатация использует так называемое переполнение буфера стека. При этом данные записываются в недостаточно большую область памяти, что может привести к перезаписи соседних областей памяти. Информация о готовящейся к выпуску модели от Anthropic под названием "Mythos" говорит о том, что подобная эксплуатация может быть осуществлена за еще меньшее время.

Скорость выявления уязвимостей и их непосредственного превращения в функциональные эксплойты меняет динамику развития ИТ-безопасности. В то время как традиционные циклы исправлений - период между выпуском рекомендаций по безопасности и установкой обновления - в корпоративных средах часто занимают недели, автоматическая эксплуатация уже работает в течение нескольких часов.