Anthropic anunció que su sistema Claude Mythos descubrió y explotó una vulnerabilidad de ejecución remota de código (CVE-2026-4747) en sistemas de archivos en red de FreeBSD, denominándola 'el primer exploit de kernel descubierto por una IA'. Sin embargo, investigadores de seguridad revelaron que esta vulnerabilidad no constituye un hallazgo original. El código vulnerable de FreeBSD proviene de una implementación idéntica en MIT Kerberos, donde se identificó por primera vez como CVE-2007-3999 en 2007. El defecto técnico radica en un desbordamiento de búfer en la función svc_rpc_gss_validate(), que utiliza un búfer de pila de 128 bytes sin validar límites, permitiendo escribir más allá de su capacidad si la credencial excede 96 bytes. Esta vulnerabilidad permite la ejecución remota de código en sistemas NFS empresarial y académico. La investigación demuestra que Mythos posiblemente reutilizó información de su conjunto de entrenamiento, lo que cuestiona la naturaleza innovadora del descubrimiento. El parche ya está disponible en la versión 14.4-RELEASE-p1 de FreeBSD. El hallazgo subraya la necesidad de verificar las afirmaciones sobre capacidades de la IA en ciberseguridad.
Noticias agregadas con IA