Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
The Register · 18.4., 08:12 · sikkerhet

Claude Opus 4.6 skrev fungerende Chrome-exploit for 2 283 dollar i API-kostnader

SYNOPSIS_GENERERT

En sikkerhetsforsker brukte Claude Opus 4.6 til å bygge en full exploit-kjede mot V8 JavaScript-motoren i Chrome 138 — versjonen som fortsatt er bundlet i Discord. Prislappen: 2,3 milliarder tokens, 2 283 dollar og 20 timer med menneskelig hjelp over én uke.

The Register gikk gjennom bloggposten der Pedhapati, CTO i sikkerhetsselskapet Hacktron, beskriver hele oppsettet. Målet var V8-motoren i Chrome 138, som Discord fortsatt bundler med sin Electron-versjon — ni hovedversjoner bak dagens Chrome 147. Det tok en uke med frem og tilbake, 2,3 milliarder tokens gjennom Anthropics API, og omtrent 20 timer der Pedhapati selv måtte dytte modellen ut av blindveier. Modellen var Opus 4.6, som nå er erstattet av Opus 4.7.

«Jeg brukte en uke på frem og tilbake, 2,3 milliarder tokens, 2 283 dollar i API-kostnader, og omtrent 20 timer med meg selv som løste modellen ut av blindveier. Den popet calc.» — Mohan Pedhapati, CTO i Hacktron

Tallene bryr seg ikke om du synes det er mye. Et Chrome 0-day er verdt rundt 15 000 dollar i Googles og Discords bug-bounty-programmer, og atskillig mer på grå-/svartmarkedet. Regnestykket snur: det du tidligere trengte måneder på, kan nå outsources til en skymodell for under en månedslønn. Pedhapati oppsummerer det brutalt: «til slutt vil enhver script kiddie med nok tålmodighet og en API-nøkkel klare å pope shells på upatchet programvare.»

For deg som bygger Electron-apper er timingen ubehagelig. Discord ligger ni versjoner bak Chrome fordi Electron alltid henger etter. Slack, VS Code-forker og hundrevis av andre desktop-apper er i samme situasjon. Når exploit-utvikling koster 24 000 kroner og patch-vinduet krymper, blir forskjellen mellom «oppdater Electron månedlig» og «oppdater Electron kvartalsvis» plutselig en sikkerhetsrisiko, ikke en prioriteringsdebatt.

Anthropic holdt tilbake sin mer spesialiserte Mythos-modell med akkurat denne begrunnelsen. Ifølge Opus 4.7 System Card har Opus 4.7 «omtrent tilsvarende cyberkapabiliteter som Opus 4.6», men med automatiske sikkerhetsfilter som blokkerer forespørsler som ser ut som sårbarhetsutnyttelse. I praksis: standardmodellen kan det samme, men nekter oftere å svare.

>_ NØKKELTALL
2 283 dollar
Pedhapatis API-kostnad for hele exploit-kjeden
2,3 mrd tokens
totalt forbruk gjennom Opus 4.6
9 versjoner
Discord Chrome 138 mot dagens Chrome 147

Hva bør du gjøre?

  1. Oppgrader Electron-avhengigheter hyppigere. Hvis du bygger Electron-apper, sjekk Chrome-versjonen i dependency-grafen. Electron 41.2.1 (Chrome 146) kom 15. april — ligger du mer enn én hovedversjon bak, planlegg en oppdatering denne uka.
  2. Automatiser sikkerhetsoppdateringer for sluttbrukere. Pedhapati peker på at «glemte oppdateringer» er den reelle angrepsoverflaten. Hvis du distribuerer en app uten tvungen auto-oppdatering, vurder å legge det til før neste major release.
  3. Behandle patch-commits som offentlige exploit-hint. For open-source-prosjekter: hvis du committer en sikkerhetsfiks før release, regn med at noen klarer å bygge exploit før din neste versjon er ute. Vurder private security branches for kritiske fikser.
Åpne eksternt kildedokument
sikkerhetClaudeAnthropic

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN