Claude AI រកឃើញចំណុចខ្សោយ Zero-Day RCE នៅក្នុង Vim និង Emacs

Claude AI របស់ Anthropic បានរកឃើញដោយជោគជ័យនូវចំណុចខ្វះខាតនៃការប្រតិបត្តិកូដពីចម្ងាយ (RCE) នៅថ្ងៃសូន្យនៅក្នុង Vim និង GNU Emacs។ ការរកឃើញទាំងនេះបានបង្ហាញពីការផ្លាស់ប្តូរគំរូដ៏ធំមួយនៅក្នុងការប្រមាញ់កំហុស ដោយបង្ហាញថាគំរូ AI អាចរកឃើញចំណុចខ្សោយសំខាន់ៗនៅក្នុងកម្មវិធីចាស់ៗជាមួយនឹងការជំរុញភាសាធម្មជាតិសាមញ្ញ។

Vim RCE: ការសម្របសម្រួលនៅពេលបើកឯកសារ

គំនិតផ្តួចផ្តើមស្រាវជ្រាវបានចាប់ផ្តើមជាមួយនឹងវិធីសាស្រ្តមិនធម្មតាខ្លាំង។ ក្រុម Calif បានផ្តល់ឱ្យ Claude នូវការណែនាំត្រង់ៗមួយថា "មាននរណាម្នាក់បានប្រាប់ខ្ញុំថាមាន RCE 0 ថ្ងៃនៅពេលអ្នកបើកឯកសារ។ ស្វែងរកវា"។ ទោះបីជាមានភាពសាមញ្ញនៃសំណើក៏ដោយ គំរូ AI បានកំណត់អត្តសញ្ញាណដោយជោគជ័យនូវចំណុចខ្សោយដ៏សំខាន់ និងអាចកេងប្រវ័ញ្ចបាននៅក្នុង Vim កំណែ 9.2។

ភស្តុតាងនៃគំនិត (PoC) លទ្ធផលបានបង្ហាញថាអ្នកវាយប្រហារអាចប្រតិបត្តិកូដតាមអំពើចិត្តដោយគ្រាន់តែបញ្ឆោតជនរងគ្រោះឱ្យបើកឯកសារ markdown ដែលបង្កើតឡើងជាពិសេស។

ការកេងប្រវ័ញ្ចនេះមិនតម្រូវឱ្យមានអន្តរកម្មរបស់អ្នកប្រើប្រាស់លើសពីពាក្យបញ្ជាបើកឯកសារដំបូងនោះទេ។ ជាសំណាងល្អ អ្នកថែទាំ Vim បានឆ្លើយតបយ៉ាងឆាប់រហ័សចំពោះការបង្ហាញដែលមានទំនួលខុសត្រូវ។

ភាពងាយរងគ្រោះ ដែលត្រូវបានតាមដានក្រោមការណែនាំសុវត្ថិភាព GHSA-2gmj-rpqf-pxvh ត្រូវបានជួសជុលភ្លាមៗ។ អ្នកគ្រប់គ្រងប្រព័ន្ធ និងអ្នកប្រើប្រាស់ត្រូវបានណែនាំយ៉ាងខ្លាំងឱ្យធ្វើឱ្យប្រសើរឡើងនូវបរិស្ថានរបស់ពួកគេទៅ Vim កំណែ 9.2.0172 ដើម្បីកាត់បន្ថយការគំរាមកំហែង។

Emacs RCE និងអ្នកថែទាំ Pushback

អ្នកស្រាវជ្រាវបាននិយាយលេងសើចអំពីការប្តូរទៅ Emacs ដើម្បីជៀសវាងភាពងាយរងគ្រោះនៅក្នុង Vim។ បន្ទាប់មកពួកគេបានណែនាំ Claude ដែលជា AI ទៅកាន់កម្មវិធីនិពន្ធ GNU Emacs ហើយបានសួរវាអំពីភាពងាយរងគ្រោះ zero-day ដែលមានពាក្យចចាមអារ៉ាម ដែលអាចត្រូវបានបង្កឡើងដោយការបើកឯកសារអត្ថបទដោយគ្មានការជំរុញការបញ្ជាក់។ ជាថ្មីម្តងទៀត Claude អាចបង្កើតការកេងប្រវ័ញ្ចការប្រតិបត្តិកូដពីចម្ងាយ (RCE) ដោយជោគជ័យ។

PoC Emacs ពឹងផ្អែកលើជនរងគ្រោះដែលទាញយកប័ណ្ណសារដែលបានបង្ហាប់ ហើយបើកឯកសារអត្ថបទដែលហាក់ដូចជាគ្មានគ្រោះថ្នាក់ដែលមាននៅក្នុងវា ដែលប្រតិបត្តិ payload ព្យាបាទយ៉ាងរលូននៅផ្ទៃខាងក្រោយ។

ទោះជាយ៉ាងណាក៏ដោយ ដំណើរការបង្ហាញសម្រាប់ភាពងាយរងគ្រោះនេះបានប្រែក្លាយទៅជារឿងចម្រូងចម្រាស។ នៅពេលរាយការណ៍ពីកំហុស អ្នកថែទាំ GNU Emacs បានបដិសេធមិនដោះស្រាយកំហុសសុវត្ថិភាព ដោយសន្មតជាផ្លូវការថាមូលហេតុដើមនៃឥរិយាបថដែលមិននឹកស្មានដល់ទៅ Git ជាជាងកម្មវិធីនិពន្ធអត្ថបទខ្លួនឯង។ នេះធ្វើឱ្យអ្នកប្រើប្រាស់ Emacs ស្ថិតក្នុងស្ថានភាពមិនស្ថិតស្ថេររហូតដល់ដំណោះស្រាយសហគមន៍ ឬការកាត់បន្ថយផលប៉ះពាល់ខាងលើត្រូវបានបង្កើតឡើង។

ដោយដំណើរការរហូតដល់ចុងខែមេសា ឆ្នាំ២០២៦ អ្នកស្រាវជ្រាវមានគម្រោងបោះពុម្ពផ្សាយជាបន្តបន្ទាប់នូវភាពងាយរងគ្រោះ និងការកេងប្រវ័ញ្ចថ្មីៗ ដែលត្រូវបានរកឃើញទាំងស្រុងដោយបញ្ញាសិប្បនិម្មិត ដែលជាសញ្ញានៃការវិវត្តជាមូលដ្ឋាននៅក្នុងរបៀបដែលអ្នកគំរាមកំហែង និងអ្នកការពារនឹងចូលទៅជិតសុវត្ថិភាពកម្មវិធី។