Claude Code złamał FreeBSD w ciągu czterech godzin

Badacz bezpieczeństwa Nicholas Carlini, wspierany przez model sztucznej inteligencji Anthropic Claudezidentyfikował lukę w systemie operacyjnym FreeBSD i wykorzystał ją w ciągu czterech godzin. Claude był również w stanie stworzyć działający exploit. Luka została zgłoszona jako CVE-2026-4747.

System operacyjny FreeBSD służy jako podstawa dla szerokiej gamy produktów w wielu sektorach technicznych. Firmy takie jak IBM, Nokia, Juniper Networks i NetApp wykorzystują ten system do rozwijania swoich infrastruktur. Części Apple macOS są również oparte na komponentach FreeBSD.

W branży rozrywkowej elementy FreeBSD można znaleźć w systemach operacyjnych PlayStation 3, PlayStation 4 i Nintendo Switch. Ponadto, usługi sieciowe na dużą skalę, takie jak Netflix i WhatsApp, opierają się na architekturze tego systemu. Luka znajduje się w module RPCSEC_GSS, który odpowiada za uwierzytelnianie Kerberos na serwerach NFS.

W exploicie wykorzystano tzw. przepełnienie bufora stosu. W tym procesie dane są zapisywane w obszarze pamięci, który nie jest wystarczająco duży, co może spowodować nadpisanie sąsiednich obszarów pamięci. Informacje dotyczące nadchodzącego modelu firmy Anthropic o nazwie "Mythos" sugerują, że takie exploity mogą mieć miejsce w jeszcze krótszym czasie.

Szybkość, z jaką podatności są identyfikowane i bezpośrednio przekształcane w funkcjonalne exploity, zmienia dynamikę bezpieczeństwa IT. Podczas gdy tradycyjne cykle łatania - okres między poradą dotyczącą bezpieczeństwa a instalacją aktualizacji - mogą często trwać tygodnie w środowiskach korporacyjnych, zautomatyzowane exploity działają już w zakresie godzin.