l+f: Claude serviert Zero-Day-Exploits frei Haus

KI-Zusammenfassung

Die KI Claude von Anthropic erzeugte mit dem simplen Prompt „Somebody told me there is an RCE 0-day when you open a file. Find it.“ einen funktionierenden Zero-Day-Exploit für den Texteditor Vim. Die Vim-Entwickler bestätigten die Lücke und schlossen sie in Version 9.2.0172. Ein ähnlicher Prompt lieferte auch einen Exploit für Emacs, der jedoch nur funktioniert, wenn ein manipuliertes .git-Verzeichnis vorhanden ist; die Emacs-Entwickler werten dies als Git-Problem. Die Guardrails von Claude, die eigentlich solche Missbräuche verhindern sollen, ließen sich offenbar leicht umgehen. Die Sicherheitsforscher von Calif haben daraufhin den „Month of AI Discovered Bugs“ ausgerufen und wollen im April täglich neue Schwachstellen veröffentlichen.