Mit 15.000 Yuan und 2,3 Milliarden Tokens verbrannt, lässt der CTO Claude Chrome in einer Woche "durchbrechen". Die praktischen Testresultate: Wartet nicht auf Mythos, die bestehenden KI-Systeme sind bereits "hochriskant".

Wenn Sie in der Cybersicherheitsbranche aktiv sind, sind Sie sicherlich in letzter Zeit von „Mythos“ überschwemmt worden – Anthropic hat ein KI-Modell entwickelt, das Fehler (Bugs) finden kann, aber aufgrund der Angst vor Missbrauch durch Böswillige es nicht veröffentlichen durfte.

Klingt wie der Anfang eines Science-Fiction-Blockbusters? Gedulden Sie sich, denn das wahre Szenario könnte noch realistischer sein: Während Mythos noch im Labor lag, hat seine „Vorgängerin“ Claude Opus 4.6 unter der Leitung eines CTO bereits eine vollständige Exploit-Kette für Chrome geschrieben.

Der Preis dafür: 2.283 US-Dollar (etwa 15.000 chinesische Yuan) an API-Kosten plus 20 Stunden „Betreuungsdienst“.

Die Hauptfigur ist nicht Mythos, sondern Claude Opus 4.6

Dieses Experiment stammt von Mohan Pedhapati (Online-Name s1r1us), CTO und Forscher bei Hacktron. Das von ihm gewählte Werkzeug war nicht das vermeintliche Mythos, sondern das bereits öffentlich verfügbare Claude Opus 4.6 – dieses Release wurde später sogar durch Opus 4.7 ersetzt.

Mit anderen Worten: Er verwendete keine „Zukunftswaffe“, sondern ein bereits vorhandenes Modell, das auch normale Benutzer nutzen können.

Er hat sich auf Discord, eine Software, die viele Menschen täglich nutzen, festgelegt. Der Grund ist einfach: Die Desktop-Version von Discord basiert auf Electron und verwendet den Chromium-Kern, aber die von ihr verwendete Chrome-Version ist deutlich hinter der offiziellen neuesten Version zurückgeblieben.

Damals lief Discord auf Chrome 138, während die offizielle Chrome-Version bereits auf 147 aktualisiert war – ein Unterschied von ganzen neun Hauptversionen. In der Sicherheitsbranche bedeutet ein solcher Versionsunterschied oft: Bereits behobene Bugs können weiterhin auf den Benutzerncomputern „nackt herumlaufen“.

Dann hat Pedhapati Claude Opus 4.6 von Anthropic geöffnet und es mit einer Aufgabe betraut: Er sollte einen Code schreiben, der diese alte Chrome-Version angreifen kann. Aber der ganze Prozess war nicht einfach. In Pedhapatis eigenen Worten:

„Ich habe eine Woche lang hin und her gerungen, 2,3 Milliarden Token verbraucht, 1.765 Anfragen gestellt und 2.283 US-Dollar an API-Kosten verursacht. Ich habe auch etwa 20 Stunden darauf verwendet, es aus Sackgassen zu ziehen.“

Das endgültige Ergebnis war: Der Systemrechner wurde erfolgreich geöffnet (pop calc). Hier eine Erklärung: „Den Rechner öffnen“ (pop calc) ist eine Fachausdrücke in der Exploit-Szene. Wenn der von Ihnen geschriebene Schadcode auf einem anderen Computer den Rechner öffnen kann, bedeutet das, dass Sie die Fähigkeit haben, beliebige Befehle auszuführen – das heißt, Sie haben das System unter Kontrolle.

Was hat die KI in einer Woche genau getan?

Nach dem von Pedhapati veröffentlichten Blogeintrag hat er Claude Opus 4.6 mit einer Aufgabe betraut, die sich grob in drei Schritte gliedert:

(1) Erster Schritt: Nach Bug-Möglichkeiten in den Patches suchen

Er hat zunächst eine Vielzahl von öffentlich behobenen CVEs zwischen Chrome 138 und Chrome 147 zusammengestellt und dann das Modell analysieren lassen:

● Welche Patches den V8-Engine betreffen

● Welche Änderungen möglicherweise auf ausnutzbare Bugs hinweisen

● Welche eher geeignet sind, um Out-of-Bounds-Les- und Schreibfähigkeiten zu konstruieren

Dieser Schritt verbrauchte am meisten Token, da viele Ansätze fehlschlugen. Claude Opus 4.6 hat mehrere Dutzend Ideen ausprobiert, und viele Bugs, die zunächst vielversprechend aussahen, endeten in Sackgassen.

(2) Zweiter Schritt: Out-of-Bounds-Zugriffskapazität (OOB) konstruieren

Das schließlich ausgewählte Ziel war ein V8 Out-of-Bounds-Read/Write-Bug. Laut Pedhapati hat dieser Kern-Bug die Nummer CVE-2026-5873 und wurde in Chrome 147 behoben. Claude hat anhand der öffentlichen Patch-Informationen die Auslöselogik rekonstruiert und eine funktionierende OOB (Out-of-Bounds)-Primitiv konstruiert.

Einfach ausgedrückt, wird das Programm dazu gebracht, auf „verbotene“ Speicherbereiche zuzugreifen, um so den Weg für die spätere Kontrolle des Programms zu ebnen.

(3) Dritter Schritt: Schutzmechanismen umgehen und eine vollständige Angriffskette zusammenfügen

Moderne Browser werden nicht so einfach durch einen Out-of-Bounds-Bug überwunden. Es gibt auch verschiedene Isolierungs- und Sandbox-Mechanismen. Daher hat Pedhapati das Modell angewiesen, weiterhin einen zweiten Bug zu konstruieren, um die Schutzgrenzen von V8 zu umgehen und schließlich die Fähigkeit zur Ausführung beliebiger Codes zu erlangen.

Einige Tage später lief die gesamte Exploit-Kette erfolgreich.

Sind 2.283 US-Dollar teuer? Hacker mögen es billig finden

Sie mögen es für verschwenderisch halten, mehr als zweitausend Dollar nur für das Öffnen eines Rechners auszugeben. Aber Pedhapati hat eine Rechnung gemacht:

● Ein menschlicher Sicherheitsforscher würde normalerweise mehrere Wochen lang konzentriert arbeiten müssen, um eine ähnliche Exploit-Kette ohne KI-Unterstützung zu entwickeln.

● Selbst wenn man seine 20 Stunden „Betreuungszeit“ mit einigen tausend Dollar in die Rechnung einbezieht, ist die Gesamtkosten deutlich niedriger als die Belohnungen in den Sicherheitslösegeldprogrammen von Google und Discord (etwa 15.000 US-Dollar).

● Ganz zu schweigen von den Preisen, die anonyme Käufer auf dem Schwarzmarkt bieten. Es heißt, dass einige Leute direkt per Privatnachricht angeboten haben, das zehnfache des offiziellen Belohnungsbetrags zu zahlen.

Allerdings hat Pedhapati auch zugegeben, dass das aktuelle Modell nicht perfekt ist. Claude hatte während des Experiments häufig Probleme, wie das Hängenbleiben in falschen Richtungen, das Vergessen früherer Schritte bei langer Kontextlänge, das Schreiben von Exploits durch Raten und das „schummelhaftige“ Abschließen von Aufgaben, wenn Probleme nicht gelöst werden konnten. Beispielsweise hat Claude einmal den Schritt des Bug-Suchens übersprungen und direkt Systembefehle verwendet, um den Rechner zu öffnen.

Dies zeigt, dass aktuelle KI-Modelle noch von Fachleuten überwacht, korrigiert und mit Debugging-Feedback versorgt werden müssen. Pedhapatis 20 Stunden gingen im Wesentlichen alle für das Korrigieren dieser Probleme drauf.

Was wirklich Sorge macht, ist jedoch: Auch wenn das Modell so ungeschickt ist, hat es dennoch erfolgreich abgeschlossen.

Was ist aber mit den nächsten Generationen von Modellen? Wenn die Kontextlänge länger wird, die Inferenz stabiler wird, die Automatisierung stärker wird und die Kosten sinken, wird die Eingriffzeit von Menschen immer kürzer, und die Hacker-Angriffsschwelle wird natürlich auch kontinuierlich sinken. In der Vergangenheit mussten Angreifer nach der Veröffentlichung von Sicherheits-Patches viel Zeit darauf verwenden, die reparierten Inhalte rückwärts zu analysieren, die Bug-Ursachen zu finden und dann Exploit-Codes zu schreiben. Heute kann die KI diesen Prozess beschleunigen.

Pedhapati ist der Meinung, dass mit der zunehmenden Stärke von KI-Modellen in der Exploit-Entwicklung die Lücke zwischen der Veröffentlichung von Patches und der Ausnutzung von Bugs immer kürzer wird:

„Jeder Patch ist im Wesentlichen ein Bug-Hinweis.“

Darüber hinaus ist dies besonders problematisch für Open-Source-Projekte, denn die reparierten Commits sind bereits in den Code-Repositories sichtbar, bevor die stabilen Versionen veröffentlicht werden. Die stabilen Versionen werden jedoch oft etwas später veröffentlicht, und viele Benutzer haben noch nicht aktualisiert. Dieser Zeitunterschied könnte zum Hauptschlachtfeld der KI werden.

Deshalb gibt Pedhapati den Entwicklern den Rat: Sie sollten die Sicherheitsüberprüfung bereits vor dem Pushen des Codes stärker beachten; eine vollständige Liste der wichtigen Abhängigkeitsversionen führen und wissen, welche Versionen sie ausführen; Sicherheits-Patches sollten automatisch angewendet werden, ohne dass der Benutzer „Bestätigen“ klicken muss; Open-Source-Projekte sollten bei der Veröffentlichung von Bug-Details vorsichtiger sein – denn jeder veröffentlichte Commit ist wie ein „Startschuss“.

Ob Mythos stark ist, spielt vielleicht keine Rolle mehr

Abschließend zurück zu Mythos. Die Außenwelt diskutiert noch immer, warum Anthropic Mythos nicht veröffentlicht hat und ob es sich um Übermarketing oder die Überbewertung der Bedrohung handelt. Auf diese Frage antwortet Pedhapati: Das spielt keine Rolle.

Dieses Experiment hat gezeigt: Selbst wenn das „stärkste Modell“ nicht verfügbar ist, reichen die vorhandenen öffentlichen Modelle bereits aus, um die Angriffs- und Verteidigungs-Situation zu verändern.

„Es spielt überhaupt keine Rolle, ob Mythos überbewertet ist“, sagt Pedhapati. „Diese Kurve hat sich nicht abgeflacht. Selbst wenn es nicht Mythos ist, wird es die nächste Version oder die übernächste sein. Eines Tages wird jeder Geduldige mit einem API-Schlüssel in der Lage sein, auf ungesicherten Software ein Shell zu öffnen. Die Frage ist nicht, ob es passieren wird, sondern wann es passieren wird.“

Der echte Wendepunkt ist möglicherweise nicht der Tag, an dem plötzlich ein „Super-Hacker-AI“ auftaucht, sondern ab jetzt: Die Exploit-Entwicklung wird immer schneller, die Bug-Analyse wird immer billiger, und unaktualisierte Software wird immer gefährlicher.

Diesmal hat es 2.283 US-Dollar und eine Woche gedauert. Beim nächsten Mal könnte es nur ein paar Dutzend Dollar und die Zeit für eine Tasse Kaffee sein.

Referenzlink

https://www.hacktron.ai/blog/i-let-claude-opus-to-write-me-a-chrome-exploit

Dieser Artikel stammt aus dem WeChat-Account „CSDN“, geschrieben von Zheng Liyuan und mit Genehmigung von 36Kr veröffentlicht.