Как ИИ помог создать эксплойт для Google Chrome всего за $2283
Мощь искусственного интеллекта продолжает удивлять, и последний пример этого — создание эксплойта для браузера Google Chrome с помощью модели Anthropic Claude Opus. Исследователь в области кибербезопасности Мохан Педхапати поделился своим опытом использования ИИ для разработки цепочки эксплойтов, направленных на уязвимости в движке JavaScript V8. В этой статье мы рассмотрим, как ИИ ускорил процесс создания эксплойта, какие риски это несёт для безопасности, и что можно сделать для защиты от подобных атак.
Процесс создания эксплойта с помощью ИИ
Использование Anthropic Claude Opus
Мохан Педхапати использовал модель Anthropic Claude Opus 4.6 для написания полной цепочки эксплойтов. Процесс занял неделю и потребовал 2,3 млрд токенов, что обошлось в $2283 через API. Это значительно ускорило процесс по сравнению с традиционными методами.
Роль исследователя
Несмотря на помощь ИИ, Мохан приложил собственные усилия, проведя 20 часов на устранение тупиковых ситуаций. «Без ИИ такой проект занял бы несколько недель», — отметил исследователь.
Экономическая выгода и риски
Вознаграждение за обнаружение уязвимости
Создание эксплойта оказалось выгодным: вознаграждение от Google и Discord за сообщение об уязвимости может достигать $15 000. Однако на нелегальном рынке киберпреступники могли бы заплатить ещё больше.
Угрозы для приложений на Electron
Многие сервисы, такие как Discord и Slack, используют фреймворк Electron, который отстаёт от актуальной версии Chrome. Это делает их уязвимыми для атак, особенно если пользователи не обновляют ПО.
Рекомендации по защите
Обновление зависимостей
Для защиты от подобных атак эксперты рекомендуют:
- Своевременно обновлять зависимости приложений.
- Выпускать патчи безопасности автоматически.
Осторожность с открытым исходным кодом
Проектам с открытым исходным кодом следует избегать публикации подробных данных об уязвимостях до выпуска обновлений. «Каждый патч — это подсказка для эксплойта», — подчеркнул Мохан.
Заключение
Использование ИИ для создания эксплойтов — это одновременно и технологическое достижение, и серьёзный вызов для безопасности. Внимательное отношение к обновлениям и зависимостям может помочь защитить приложения от подобных угроз. Однако, как показывает пример Мохана Педхапати, будущее кибербезопасности требует новых подходов и решений.
«`
