Claude взломал Chrome за 2283 доллара. Anthropic пыталась это предотвратить — и не смогла

Anthropic решила не выпускать в открытый доступ модель Mythos, заточенную под поиск уязвимостей. Причина простая: риск оказался слишком очевидным. Инструмент, который умеет находить слабые места в коде, с той же лёгкостью может подсказать, как их использовать, причём быстрее, чем разработчики успеют закрыть дыру.

При этом даже без Mythos ситуация уже изменилась. Исследователь Мохан Педхапати, технический директор Hacktron, показал, что доступная модель Opus 4.6 способна довести атаку до конца. Он собрал полноценную цепочку эксплуатации для движка V8, который используется в Chrome и встроен в приложения вроде Discord.

Эксперимент занял около недели. За это время модель прогнала примерно 2,3 миллиарда токенов, а расходы на API составили 2283 доллара. Педхапати вручную направлял процесс, вытаскивая модель из тупиков и корректируя ход работы. В итоге удалось добиться классического результата для демонстрации уязвимости — запустить калькулятор на целевой системе. В профессиональной среде это стандартный признак того, что выполнение кода удалось перехватить.

Главная деталь в том, что использованная уязвимость - не какая-нибудь экзотика. Речь идёт об ошибке выхода за границы памяти в V8, известной по более свежим версиям Chrome. Та же ветка движка используется, например, в настольном клиенте Claude. В качестве цели выбрали Discord, потому что его версия Electron заметно отстаёт: внутри работает Chrome 138, тогда как актуальные релизы ушли далеко вперёд.

Сама по себе задержка с обновлениями давно считается слабым местом экосистемы Electron. Даже если Google выпускает новую версию Chrome, приложения на его базе получают обновления с лагом. Сначала обновляется сам Electron, затем разработчики должны встроить новую версию в свои продукты, а пользователи — установить обновление. На каждом этапе возникает пауза. В случае Discord разрыв достиг девяти крупных версий.

На фоне таких задержек меняется экономика атак. Несколько тысяч долларов за генерацию эксплойта уже выглядят не так пугающе, если сравнивать с затратами времени при ручной разработке. Без помощи моделей на ту же задачу могли уйти недели. При этом официальные программы вознаграждений за уязвимости у крупных компаний платят порядка 15 тысяч долларов за подобные находки. За пределами легального рынка ставки могут быть выше, особенно если речь идёт о свежем 0-day.

Anthropic утверждает, что более новая версия Opus 4.7 по возможностям близка к 4.6, но снабжена механизмами, которые отслеживают и блокируют опасные сценарии использования. При этом сама компания признаёт, что Mythos Preview остаётся более мощным инструментом в задачах кибербезопасности. Ограничения в публичных моделях не меняют общей тенденции: генерация кода становится всё точнее и быстрее.

Педхапати считает, что проблема не в конкретной модели, а в темпе прогресса. Улучшения идут без заметного замедления, и рано или поздно даже начинающие злоумышленники с доступом к API смогут доводить атаки до рабочего состояния на не обновлённом софте. Вопрос уже не в том, возможно ли это, а в том, когда это станет массовой практикой.

Отдельный риск связан с самими исправлениями. Патч нередко фактически подсказывает, где искать уязвимость. В проектах с открытым кодом ситуация ещё сложнее: изменения видны сразу после публикации коммита, тогда как обновлённые сборки выходят позже. Такой разрыв даёт дополнительное время тем, кто умеет быстро превращать исправления в рабочие эксплойты.

Следовательно, меняются и требования к разработке. Акцент смещается в сторону более ранней проверки безопасности, ещё до публикации кода. Зависимости приходится отслеживать внимательнее, чтобы не тянуть за собой устаревшие компоненты. Обновления, по мнению исследователя, должны устанавливаться автоматически, иначе пользователи остаются уязвимыми просто потому, что не нажали кнопку обновления. Даже подход к раскрытию информации об ошибках может потребовать пересмотра: каждое публичное изменение превращается в сигнал для тех, кто умеет работать с подобными инструментами.