Claude code knackt FreeBSD innerhalb von vier Stunden

Der Forscher Nicholas Carlini konnte mithilfe des KI-Modells Claude von der Firma Anthropic eine Schwachstelle im Betriebssystem FreeBSD identifizieren und innerhalb von vier Stunden ausnutzen. Claude war also auch in der Lage einen funktionierenden Exploit zu erstellen. Die Sicherheitslücke ist als CVE-2026-4747 gemeldet.

Das Betriebssystem FreeBSD dient in vielen technischen Bereichen als Fundament für verschiedenste Produkte. Unternehmen wie IBM, Nokia, Juniper Networks und NetApp nutzen das System zur Entwicklung ihrer Infrastrukturen. Auch Teile des macOS von Apple basieren auf Komponenten aus FreeBSD. In der Unterhaltungsbranche finden sich Elemente von FreeBSD in den Betriebssystemen der PlayStation 3, der PlayStation 4 sowie der Nintendo Switch wieder. Zudem setzen groß angelegte, netzwerkorientierte Dienste wie Netflix oder WhatsApp auf die Architektur dieses Systems.

Die Schwachstelle befindet sich im RPCSEC_GSG-Modul, welches für die Kerberos-Authentifizierung bei NFS-Servern zuständig ist. Bei der Ausnutzung wurde ein sogenannter Stack-Buffer-Overflow genutzt. Dabei werden Daten in einen Speicherbereich geschrieben, der nicht ausreichend groß ist, wodurch benachbarte Speicherbereiche überschrieben werden können.

Informationen über ein kommendes Modell namens „Mythos“ von Anthropic deuten darauf hin, dass solche Ausnutzungen in noch kürzerer Zeit stattfinden können. Die Geschwindigkeit, mit der Schwachstellen identifiziert und direkt in funktionierende Exploits umgewandelt werden, verändert die Dynamik in der IT-Sicherheit. Während traditionelle Patch-Zyklen – also die Zeitspanne zwischen einer Sicherheitswarnung und der Installation eines Updates – in Unternehmen oft Wochen dauern können, bewegt sich die automatisierte Ausnutzung bereits im Bereich von Stunden.