概要
カリフォルニア州のセキュリティ研究者が、人工知能(AI)の力を示すためにClaude AIを使用し、VimとEmacsという人気のあるテキストエディタでゼロデイのリモートコード実行(RCE)脆弱性を発見しました。これらの脆弱性は、悪意のあるファイルを開くだけでシステムを完全に侵害する可能性があります。
Vimの脆弱性とパッチ
研究者は最初にClaude AIに対して、Vimで開いたファイルが引き起こすRCE脆弱性を見つけるよう要求しました。AIは非常にシンプルなプロンプトを使用して、クリティカルな脆弱性を特定しました。
- Vimの脆弱性は、特別に作成されたMarkdownファイルを開くことでトリガーされます。
この脆弱性が発見されると、Vim開発チームは迅速に対応し、アドバイザリGHSA-2gmj-rpqf-pxvhを公開してパッチをすぐにリリースしました。セキュリティチームとシステム管理者には、ソフトウェアをバージョン9.2.0172に更新することを強く推奨します。
Emacsの脆弱性と対応
Vimでの発見に続いて、研究者はClaude AIに対して、標準テキストファイルを開くことで引き起こされるRCEゼロデイ脆弱性を見つけるよう要求しました。AIは再び効果的な証明概念のエクスプロイトを生成し、コード実行を達成しました。
- しかし、GNU Emacsの開発チームはこの脆弱性に対応せず、Gitが原因であると主張しています。
そのため、このRCE脆弱性は未修正であり、信頼できないソースからファイルやアーカイブを開く場合にユーザーが潜在的に暴露される可能性があります。
エディタの脆弱性要約
| エディタ | 脆弱性タイプ | トリガーメカニズム | パッチ状況 | 推奨アクション |
|---|---|---|---|---|
| Vim | RCE | 特別に作成されたMarkdownファイルを開く | 修正済み | バージョン9.2.0172に更新する |
| Emacs | RCE | 特別に作成されたテキストファイルアーカイブを開く | 未修正(議論中) | 信頼できないファイルには注意を払う |
Claude AIの発見が示すセキュリティ研究の変化
Claude AIによるこれらの重要な脆弱性の発見は、サイバーセキュリティ研究における大きな転換点を示しています。カリフォルニア州からの研究者は、現在のAI能力を2000年代初頭に例えています。
- その頃には、単純なSQLインジェクション攻撃でほぼどのシステムも侵入できました。
今日では、深刻なソフトウェアの欠陥を見つけるためには、高度な言語モデルに会話的なプロンプトを提供するだけで十分です。このトレンドを強調するために、カリフォルニアは「MAD Bugs: AIによって発見されたバグの月」を開始すると発表しました。
- 4月末までに、セキュリティグループは人工知能によって完全に発見された脆弱性とエクスプロイトを公開する予定です。
元記事: https://gbhackers.com/claude-ai-zero-day-rce-vulnerabilities-in-vim-and-emacs/