Forscher nutzt Claude Opus, um eine funktionierende Chrome-Exploit-Kette zu erstellen

Mitten in der hitzigen Debatte um Anthropic’s jüngste Ankündigung seiner Modelle Mythos und Project Glasswing hat ein Sicherheitsforscher die greifbaren Auswirkungen von Frontier AI auf die Cybersicherheit demonstriert.

Über theoretische Warnungen hinaus nutzte der Forscher erfolgreich Claude Opus, um eine voll funktionsfähige Exploit-Kette zu erstellen, die auf Googles komplexer V8 JavaScript-Engine in Google Chrome abzielte. Das Experiment beleuchtet eine hartnäckige Schwachstelle im modernen Software-Ökosystem: die Patch-Lücke.

Viele beliebte Desktop-Anwendungen, die auf dem Electron-Framework basieren, wie Discord, Notion und Slack, bündeln ihre eigenen Chromium-Builds. Diese gebündelten Versionen hinken oft um Wochen oder Monate hinter den Upstream-Chrome-Veröffentlichungen zurück, wodurch bekannte Schwachstellen ungepatcht bleiben und Benutzer N-Day-Exploits ausgesetzt sind.

Für diesen Test zielte der Forscher auf die Desktop-Anwendung Discord ab, die auf der veralteten Chrome 138 Engine lief. Da Discord ohne einen Sandbox-Bereich in seinem Hauptfenster arbeitet, benötigte der Exploit nur zwei Schwachstellen, um eine vollständige Kette zu erreichen und die Notwendigkeit eines dritten dedizierten Sandbox-Ausbruchs zu umgehen.