Claude‑KI entdeckte eine Schwachstelle in FreeBSD und entwickelte einen funktionierenden Exploit.

Kurz zum Ereignis

- Was ist passiert?

Die KI‑Modell Claude, in Zusammenarbeit mit dem Forscher Nicholas Carlini, hat innerhalb von etwa vier Stunden zwei vollwertige Exploits für die Schwachstelle CVE‑2026‑4747 im FreeBSD-Kernel entwickelt.

- Was bedeutet das?

Dies ist der erste bekannte Fall, bei dem KI nicht nur eine Schwachstelle entdeckt, sondern sie bis zur vollständigen Angriffsstufe bringt, wodurch beliebiger Code mit Root-Rechten ausgeführt werden kann.

Warum dies für die Sicherheit wichtig ist
1. FreeBSD – „klassischer“ Kernel

- Wird in Systemen wie Netflix, PlayStation und WhatsApp eingesetzt.

- gilt als einer der zuverlässigsten Codes in seiner Kategorie.

2. Schwachstelle

- Im Modul `kgssapi.ko`, das für die Kerberos‑Authentifizierung von NFS (RPCSEC_GSS) verantwortlich ist.

- Ermöglicht einem Angreifer ohne Authentifizierung einen Stack‑Overflow bei der Prüfung der RPCSEC_GSS‑Signatur auszulösen, was zu einer Remote‑Code‑Ausführung führt.

3. Exploit von Claude

- Erstellt eine Umgebung mit dem anfälligen Kernel, NFS und Kerberos.

- Entwickelt eine mehrpaketige Shellcode‑Lieferung, beendet die abgefangenen Kernel­Threads korrekt (damit der Server weiterläuft).

- Bestimmt Stack‑Offsets mithilfe von De Bruijn‑Sequenzen, erstellt einen neuen Prozess über `kproc_create()`, wechselt ihn in den Benutzermodus (`kern_execve()`), entfernt das Flag `P_KPROC` und setzt den Registerwert `DR7` zurück.

Was hat sich im Vergleich zu traditionellen Methoden geändert?
| Kennzahl | Traditioneller Ansatz | Claude‑Ansatz |
|---|---|---|
| Zeit zur Erstellung des Exploits | Wochen, erfordert Spezialisten | ~4 Stunden |
| Entwicklungs­kosten | Hoch (Mitarbeiter + Ausrüstung) | Niedrig (einige hundert Dollar für Rechenressourcen) |
| Erforderliche Fähigkeiten | Tiefgehende Speicheranalyse, Debugging, mehrfache Versuche | Automatisierter Ketten‑Generator |
| Risiko für Systeme | Langsam sinkend: Patch‑Deployment dauert meist >60 Tage | Exploit erscheint sofort nach Bekanntwerden der Schwachstelle |

Folgen und Lektionen
- Die Angriffsgeschwindigkeit ist nun vergleichbar mit der Zeit, die Sicherheitsexperten benötigen, um einen Patch zu installieren.

- Große OS‑Entwickler, Cloud‑Provider und kritische Infrastrukturen müssen ihre Strategien überdenken:

1. KI‑basierte Sicherheitsprüfung als kontinuierlichen Prozess einführen.
2. Eindringversuche in Echtzeit überwachen.
3. Schnell von der Entdeckung einer Schwachstelle zur Behebung übergehen.

Was kommt als Nächstes?
Carlini hat die Vulnerability‑Scanning‑Methode mit Claude bereits auf mehr als 500 kritische Bugs in verschiedenen Codebasen angewendet und gezeigt, dass das entscheidende Element nicht ein einzelner Exploit ist, sondern die Methode der automatischen Generierung und Ausnutzung. Dies unterstreicht die Notwendigkeit, KI in das Schutzsystem jeder großen Organisation zu integrieren.