Исследователь в области кибербезопасности Мохан Педхапати продемонстрировал, как с помощью искусственного интеллекта Anthropic Claude Opus 4.6 ему удалось создать полную цепочку эксплойтов для уязвимого движка JavaScript V8 в браузере Google Chrome версии 138. Именно на этой версии работает актуальный клиент Discord. Процесс разработки занял неделю и потребовал использования 2,3 миллиарда токенов, что обошлось в $2283 за API-доступ к модели ИИ. Помимо этого, сам исследователь потратил около 20 часов на решение сложных задач и устранение тупиковых ситуаций.

По словам Педхапати, сумма затрат значительна для одного человека, однако без помощи ИИ работа заняла бы несколько недель. При этом проект оказался экономически выгодным: вознаграждение за обнаружение такого эксплойта от Google и Discord может достигать $15 000. Эксперт отмечает, что на нелегальном рынке уязвимость нулевого дня могла бы стоить еще дороже.

Многие популярные приложения, такие как Discord Slack, основаны на фреймворке Electron, который использует движок Chrome. Однако версии этого движка в приложениях часто отстают от актуального браузера, а обновления устанавливаются не всегда своевременно. Discord выбран для исследования из-за использования Chrome 138, что на девять версий старше текущей версии.

Педхапати предупреждает, что любой начинающий разработчик с доступом к ИИ и терпением может взломать устаревшее программное обеспечение — это вопрос времени. Каждый патч в открытом исходном коде даёт подсказки для создания эксплойтов, так как исправления становятся общедоступными ещё до выхода обновлений. Для защиты приложений экспертЭксперт по кибербезопасности создал эксплойты для JavaScript V8 с помощью ИИ

Кибербезопасность: ИИ помогает взломать JavaScript V8 в Google Chrome

Исследователь Мохан Педхапати разработал цепочку эксплойтов для уязвимости в браузере Google Chrome, используя ИИ-модель.
Мохан Педхапати, специалист в области кибербезопасности, поделился своим опытом создания полной цепочки эксплойтов для движка JavaScript V8 в Google Chrome 138, на котором функционирует клиент Discord. Работа заняла неделю и потребовала 2,3 миллиарда токенов, а также 2283 долларов за доступ к API ИИ. Педхапати потратил около 20 часов на решение возникающих трудностей. Хотя затраты были значительными для одиночки, он отметил, что без ИИ процесс мог бы занять гораздо больше времени. В результате работы исследователь сможет получить вознаграждение в размере около 15 000 долларов от Google и Discord, не считая потенциальных выплат от киберпреступников за уязвимость нулевого дня. Педхапати подчеркнул, что любой начинающий программист с API-ключом и терпением может взломать устаревшее ПО. Эксперт рекомендует разработчикам следить за зависимостями и выпускать патчи безопасности, чтобы предотвратить атаки.