Claude‑IA ha individuato una vulnerabilità in FreeBSD e ha creato un exploit funzionante.

Breve sull’evento

- Cosa è successo?

Il modello di IA Claude, lavorando con lo studioso Nicholas Carlini, ha creato in circa quattro ore due exploit completi per la vulnerabilità CVE‑2026‑4747 nel kernel FreeBSD.

- Che cosa significa?

È il primo caso noto in cui l’IA non solo ha individuato una vulnerabilità, ma l’ha portata a un attacco completo, consentendo l’esecuzione di codice arbitrario con privilegi root.

Perché è importante per la sicurezza
1. FreeBSD – kernel “classico”

- Utilizzato in sistemi come Netflix, PlayStation e WhatsApp.

- Considerato uno dei codici più affidabili nella sua categoria.

2. Vulnerabilità

- Nel modulo `kgssapi.ko`, responsabile dell’autenticazione Kerberos per NFS (RPCSEC_GSS).

- Permette a un aggressore di causare un overflow dello stack senza autenticazione durante la verifica della firma del pacchetto RPCSEC_GSS, aprendo la via all’esecuzione remota di codice.

3. Exploit di Claude

- Crea un ambiente con kernel vulnerabile, NFS e Kerberos.

- Sviluppa una consegna multi-pacchetto di shellcode, termina correttamente i thread del kernel intercettati (per mantenere il server operativo).

- Determina gli offset nello stack usando sequenze di De Bruijn, crea un nuovo processo tramite `kproc_create()`, lo mette in modalità utente (`kern_execve()`), rimuove il flag `P_KPROC` e resetta il registro `DR7`.

Cosa è cambiato rispetto ai metodi tradizionali
Indicatore | Approccio Tradizionale | Approccio Claude
---|---|---
Tempo di creazione dell’exploit | Settimane, richiede specialisti altamente qualificati | ~4 ore
Costo dello sviluppo | Alto (personale + attrezzature) | Basso (qualche centinaio di dollari per risorse computazionali)
Competenze richieste | Analisi profonda della memoria, debug, tentativi ripetuti | Generatore automatizzato di catene
Rischio per i sistemi | Riduzione lenta: deployment del patch solitamente >60 giorni | L’exploit appare subito dopo la scoperta della vulnerabilità

Conseguenze e lezioni
- La velocità dell’attacco è ora comparabile al tempo che gli esperti di cybersecurity impiegano per installare un patch.

- Grandi sviluppatori di sistemi operativi, provider cloud e infrastrutture critiche sono costretti a rivedere le proprie strategie:

1. Implementare la verifica della sicurezza IA come processo continuo.
2. Monitorare i tentativi di intrusione in tempo reale.
3. Passare rapidamente dalla scoperta alla correzione della vulnerabilità.

Cosa succede dopo?
Carlini ha già applicato lo schema di ricerca delle vulnerabilità con Claude a oltre 500 bug critici in diverse codebase, dimostrando che il punto chiave non è un singolo exploit, ma la metodologia di generazione e sfruttamento automatizzato. Ciò sottolinea la necessità di integrare l’IA nel sistema di difesa di qualsiasi grande organizzazione.