Хакеры больше не нужны. Нейросеть научилась ломать серверы дешевле и эффективнее людей
NewsMakerТеперь цена победы над защитой равна стоимости месячной подписки на ИИ.
Идея о том, что искусственный интеллект способен не только находить уязвимости, но и самостоятельно превращать их в полноценные атаки, долго казалась преувеличением. Однако недавний случай с моделью Claude от Anthropic резко сдвинул границы возможного — и заставил специалистов говорить о сокращении времени между публикацией проблемы и появлением работающего эксплойта до считанных часов .
Claude сумел самостоятельно создать два рабочих удалённых эксплойта для уязвимости ядра FreeBSD всего за четыре часа вычислений. Исследователь Николас Карлини рассказал, что оставил систему без контроля, а позже обнаружил готовое решение, которое обошло несколько сложных технических задач без вмешательства человека. В результате атака позволяет получить root-доступ к незащищённому серверу менее, чем за минуту.
Речь идёт об уязвимости CVE-2026-4747 в модуле RPCSEC_GSS, отвечающем за аутентификацию. Ошибка представляет собой переполнение буфера стека и доступна по сети при наличии Kerberos-билета. Исправление вышло 26 марта — разработчики добавили всего одну проверку границ перед копированием данных.
Claude не просто нашёл уязвимость, а выстроил полноценную цепочку эксплуатации. Модель разработала многоэтапный способ доставки shell-кода: сначала сделала память ядра исполняемой, затем по частям записала код в известную область и в финале передала управление. Для устойчивости атаки система поочерёдно завершала рабочие потоки NFS, чтобы сервер продолжал работать во время отправки пакетов.
Идея о том, что искусственный интеллект способен не только находить уязвимости, но и самостоятельно превращать их в полноценные атаки, долго казалась преувеличением. Однако недавний случай с моделью Claude от Anthropic резко сдвинул границы возможного — и заставил специалистов говорить о сокращении времени между публикацией проблемы и появлением работающего эксплойта до считанных часов .
Claude сумел самостоятельно создать два рабочих удалённых эксплойта для уязвимости ядра FreeBSD всего за четыре часа вычислений. Исследователь Николас Карлини рассказал, что оставил систему без контроля, а позже обнаружил готовое решение, которое обошло несколько сложных технических задач без вмешательства человека. В результате атака позволяет получить root-доступ к незащищённому серверу менее, чем за минуту.
Речь идёт об уязвимости CVE-2026-4747 в модуле RPCSEC_GSS, отвечающем за аутентификацию. Ошибка представляет собой переполнение буфера стека и доступна по сети при наличии Kerberos-билета. Исправление вышло 26 марта — разработчики добавили всего одну проверку границ перед копированием данных.
Claude не просто нашёл уязвимость, а выстроил полноценную цепочку эксплуатации. Модель разработала многоэтапный способ доставки shell-кода: сначала сделала память ядра исполняемой, затем по частям записала код в известную область и в финале передала управление. Для устойчивости атаки система поочерёдно завершала рабочие потоки NFS, чтобы сервер продолжал работать во время отправки пакетов.