Claude Code kraakt FreeBSD binnen vier uur

Beveiligingsonderzoeker Nicholas Carlini, ondersteund door Anthropic's AI-model Claudeontdekte een kwetsbaarheid in het besturingssysteem FreeBSD en buitte deze binnen vier uur uit. Claude was ook in staat om een werkende exploit te maken. De kwetsbaarheid is gerapporteerd als CVE-2026-4747.

Het besturingssysteem FreeBSD dient als basis voor een grote verscheidenheid aan producten in vele technische sectoren. Bedrijven zoals IBM, Nokia, Juniper Networks en NetApp gebruiken het systeem om hun infrastructuren te ontwikkelen. Delen van Apple's macOS zijn ook gebaseerd op componenten van FreeBSD.

In de entertainmentindustrie zijn elementen van FreeBSD terug te vinden in de besturingssystemen van de PlayStation 3, PlayStation 4 en Nintendo Switch. Daarnaast vertrouwen grootschalige, netwerkgeoriënteerde diensten zoals Netflix en WhatsApp op de architectuur van dit systeem. De kwetsbaarheid bevindt zich in de module RPCSEC_GSS, die verantwoordelijk is voor de Kerberos-authenticatie op NFS-servers.

De uitbuiting maakte gebruik van een zogenaamde stack buffer overflow. Hierbij worden gegevens in een geheugengebied geschreven dat niet groot genoeg is, waardoor aangrenzende geheugengebieden overschreven kunnen worden. Informatie over een nieuw model van Anthropic, genaamd "Mythos", suggereert dat dergelijke exploitaties in nog minder tijd zouden kunnen plaatsvinden.

De snelheid waarmee kwetsbaarheden worden geïdentificeerd en direct worden omgezet in functionele exploits verandert de dynamiek van IT-beveiliging. Terwijl traditionele patchcycli - de periode tussen een beveiligingswaarschuwing en de installatie van een update - in bedrijfsomgevingen vaak weken kunnen duren, is geautomatiseerde uitbuiting al binnen enkele uren actief.