Claude Code cracca FreeBSD in quattro ore

Il ricercatore sulla sicurezza Nicholas Carlini, supportato dal modello AI di Anthropic Claudeha identificato una vulnerabilità nel sistema operativo FreeBSD e l'ha sfruttata in quattro ore. Claude è stato anche in grado di creare un exploit funzionante. La vulnerabilità è stata segnalata come CVE-2026-4747.

Il sistema operativo FreeBSD funge da base per un'ampia varietà di prodotti in molti settori tecnici. Aziende come IBM, Nokia, Juniper Networks e NetApp utilizzano il sistema per sviluppare le loro infrastrutture. Anche alcune parti di Apple's macOS sono basate su componenti di FreeBSD.

Nel settore dell'intrattenimento, elementi di FreeBSD si trovano nei sistemi operativi di PlayStation 3, PlayStation 4 e Nintendo Switch. Inoltre, servizi su larga scala e orientati alla rete come Netflix e WhatsApp si basano sull'architettura di questo sistema. La vulnerabilità si trova nel modulo RPCSEC_GSS, responsabile dell'autenticazione Kerberos sui server NFS.

Lo sfruttamento utilizza un cosiddetto stack buffer overflow. In questo processo, i dati vengono scritti in un'area di memoria non abbastanza grande, il che può causare la sovrascrittura delle aree di memoria adiacenti. Le informazioni relative a un modello di prossima uscita di Anthropic, denominato "Mythos", suggeriscono che tali sfruttamenti potrebbero avvenire in tempi ancora più brevi.

La velocità con cui le vulnerabilità vengono identificate e convertite direttamente in exploit funzionali sta cambiando le dinamiche della sicurezza informatica. Mentre i tradizionali cicli di patch - il periodo che intercorre tra un avviso di sicurezza e l'installazione di un aggiornamento - possono spesso richiedere settimane negli ambienti aziendali, lo sfruttamento automatizzato opera già nell'ordine delle ore.