Nano Banana
Kurzfassung
▾
Quellen
▾
Das KI-Modell Claude hat funktionsfähige RCE-Exploits für die Texteditoren Vim und Emacs generiert.
Sicherheitsforscher von Calif nutzten gezielte Prompts über angebliche Zero-Day-Lücken, um die Schutzmechanismen der KI zu umgehen.
Für Vim steht die gepatchte Version 9.2.0272 bereit, während die Emacs-Entwickler auf Git verweisen.
MAD Bugs: vim vs emacs vs Claude
Vim tabpanel modeline escape affects Vim < 9.2.0272
Vim v9.2.0272 Release
GNU Emacs: Multiple Remote Code Execution Vectors on File Open
Calif-Post auf X zum Fund
Das KI-Modell Claude hat im Auftrag der Sicherheitsforscher von Calif kritische Remote-Code-Execution-Schwachstellen in den Texteditoren Vim und Emacs aufgespürt. Die KI lieferte auf Zuruf funktionsfähige Exploits, die Schadcode bereits beim Öffnen einer manipulierten Datei ausführen. Gezielte Prompts hebeln Schutzmechanismen aus Die Analysten konfrontierten das Modell mit dem fiktiven Gerücht, es existiere ein unbekannter Zero-Day-Exploit. Claude untersuchte daraufhin den Quellcode sowie die jüngsten Änderungen der Open-Source-Editoren. Kurz darauf präsentierte das KI-Modell einen funktionierenden Angriffsweg. Bei Vim führt eine Verkettung von zwei Bugs zur Ausführung des Schadcodes. Das bloße Laden einer speziell präparierten Datei reicht aus, um unbemerkt Betriebssystembefehle auf dem Zielrechner zu starten. Die Entwickler haben zügig reagiert und die Schwachstelle behoben. Die offizielle Sicherheitsmeldung dokumentiert die Details zum Exploit. Der sichere Patch steht für alle Nutzer in der Version 9.2.0272 bereit. Anzeige Emacs-Maintainer weisen Verantwortung ab Nach dem erfolgreichen Test bei Vim wandten die Forscher das gleiche Vorgehen bei GNU Emacs an. Der Prompt an Claude beinhaltete erneut die Behauptung über eine RCE-Schwachstelle beim Laden einer simplen Textdatei. Auch hier analysierte das Modell den Code und fand einen entsprechenden Pfad zur Ausführung. Dieser zweite Exploit erfordert für einen erfolgreichen Angriff allerdings bestimmte Voraussetzungen. Er funktioniert ausschließlich im Zusammenspiel mit Git und einem manipulierten Verzeichnis. Aus diesem Grund lehnen die Emacs-Maintainer eine direkte Behebung im Editor ab und machen die Git-Entwickler für die eigentliche Ursache verantwortlich. Die aktuellen Erkenntnisse bilden den Auftakt der Publikationsreihe »MAD Bugs«. Die Analysten von Calif kündigten an, in den kommenden Wochen weitere KI-gestützte Bugfunde detailliert zu dokumentieren.