Сегодня 02 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Чат-бот Anthropic Claude Opus написал эксплойт для Google Chrome всего за $2283

Исследователь в области кибербезопасности Мохан Педхапати (Mohan Pedhapati) рассказал, как при помощи модели искусственного интеллекта Anthropic Claude Opus 4.6 написал полную цепочку эксплойтов для взлома движка JavaScript V8 в браузере Google Chrome 138, на котором работает актуальный клиент Discord.

 Источник изображения: anthropic.com

Источник изображения: anthropic.com

Процесс написания цепочки эксплойтов занял неделю, сообщил исследователь — в процессе были израсходованы 2,3 млрд токенов и $2283 за доступ к ИИ-модели через API; он также приложил собственные усилия, в общей сложности проведя 20 часов в решении задач по устранению тупиковых ситуаций. Сумма, в которую обошлось создание схемы взлома, представляется значительной для одиночки, признал Мохан Педхапати; с другой стороны, без посторонней помощи человек работал бы над аналогичным проектом несколько недель. Проект оказался выгодным и в экономическом плане — вознаграждение от Google и Discord за сообщение о таком эксплойте может составить около $15 000. И это только легальный рынок — за уязвимость нулевого дня киберпреступники могли бы заплатить другие деньги.

Многие сервисы выпускают свои приложения на фреймворке Electron, который, в свою очередь, основывается на Chrome — так делают не только в Discord, но и, например, в Slack. Вот только актуальный код фреймворка на одну версию отстаёт от браузера, а разработчики приложений не всегда оперативно обновляют зависимости, да и пользователи не всегда ставят последние версии приложений. Клиент Discord автор опыта выбрал потому, что он работает на Chrome 138, то есть отстаёт от текущей версии браузера на девять основных версий.

Любой начинающий программист, указывает Мохан Педхапати, при наличии достаточного терпения и ключа API для доступа к ИИ-модели способен взломать необновлённое ПО — «это вопрос времени, а не вероятности». Более того, «каждый патч — это, по сути, подсказка для эксплойта», потому что проекты с открытым исходным кодом разрабатываются прозрачно, то есть исправления часто оказываются общедоступными в коде ещё до того, как выпускается обновлённая версия программы в целом. Чтобы защитить приложения от подобных атак, эксперт рекомендует внимательнее следить за зависимостями и оперативно вносить изменения, а также выпускать патчи безопасности автоматически, чтобы пользовательское ПО не оставалось уязвимым, если обновление установить просто забыли. Наконец, проектам с открытым исходным кодом следует соблюдать осторожность при публикации подробных данных об уязвимостях.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Авторитетный инсайдер опроверг закрытие Obsidian Entertainment и работу студии над новой Fallout 3 мин.
Правительство США снова взломали: хакеры проникли в федеральную платформу для обмена разведданными 9 мин.
«Не можешь — научим, не хочешь — заставим»: Microsoft мобилизует 6000 сотрудников для помощи клиентам во внедрении ИИ 30 мин.
Браузер Opera получил продвинутую защиту от ввода вредоносных команд через буфер обмена 31 мин.
Google начала тестировать новую reCAPTCHA — пользователей просят показать руки в камеру, и не обязательно свои 55 мин.
ИИ оказался слишком дорогим: компании урезают сотрудникам доступ к ChatGPT и Claude 57 мин.
Студия создателя Deus Ex и System Shock перестанет делать игры — после провала Thick as Thieves в OtherSide осталось меньше десяти человек 2 ч.
Google не смогла отбиться от рекордного штрафа в €4,1 млрд в Европе 2 ч.
Кризис Xbox поставил под угрозу закрытия Obsidian — студию в ответе за Fallout: New Vegas, Pillars of Eternity и South Park: The Stick of Truth 3 ч.
Toyota собирается при помощи ИИ навести порядок в своей документации и терминологии 3 ч.