Искусственный интеллект продолжает удивлять своими возможностями, и не всегда в позитивном ключе. Недавно исследователь в области кибербезопасности Мохан Педхапати продемонстрировал, как модель Anthropic Claude Opus 4.6 создала цепочку эксплойтов для взлома движка JavaScript V8 в браузере Google Chrome. Этот эксперимент поднимает важные вопросы о безопасности ПО и роли ИИ в киберпреступлениях. В этой статье мы разберем, как это произошло, какие риски это несет и как защитить свои системы от подобных угроз.
Как ИИ справился с задачей
Процесс создания эксплойта
Мохан Педхапати использовал модель Anthropic Claude Opus 4.6 через API, потратив на это $2283 и 2,3 млрд токенов. Процесс занял неделю, включая 20 часов ручной работы для устранения тупиковых ситуаций. Ключевым моментом стало использование открытого исходного кода, что значительно упростило задачу для ИИ.
Почему был выбран Discord
Клиент Discord стал объектом атаки, так как он работает на устаревшей версии Chrome 138, которая отстает от актуальной на девять основных версий. Это подчеркивает важность своевременного обновления ПО.
Экономическая сторона вопроса
Стоимость и выгода
Создание эксплойта обошлось в $2283, что может показаться значительной суммой для одиночки. Однако вознаграждение от Google и Discord за сообщение о такой уязвимости может достигать $15 000. На черном рынке цена могла бы быть еще выше.
Экономия времени
Без помощи ИИ подобный проект занял бы несколько недель. Использование искусственного интеллекта значительно ускорило процесс, что делает его привлекательным инструментом для злоумышленников.
Риски и рекомендации
Угрозы для ПО
Многие сервисы, такие как Slack и Discord, используют фреймворк Electron, основанный на Chrome. Отставание в обновлении зависимостей делает их уязвимыми для атак. Каждый патч — это подсказка для эксплойта, так как исправления часто публикуются до выпуска обновленной версии ПО.
Как защититься
- Внимательно следите за зависимостями и оперативно вносите изменения.
- Выпускайте патчи безопасности автоматически.
- Ограничивайте публикацию подробных данных об уязвимостях в проектах с открытым исходным кодом.
Этот случай демонстрирует, что ИИ может быть как мощным инструментом для защиты, так и серьезной угрозой. Важно понимать, что безопасность ПО — это непрерывный процесс, требующий внимания и оперативности.
