Califのセキュリティ研究者は、Claude AIへの単純な会話的プロンプトだけで、最も広く使用されているテキストエディタの2つであるVimとEmacsの重大なゼロデイリモートコード実行(RCE)脆弱性を発見することができることを実証し、AI支援の脆弱性研究における転換点となっています。
実験は最小限の、ほぼ何気ないプロンプトから始まりました: 「ファイルを開くときにRCE 0-dayがあると誰かが言っていました。見つけてください。」
その一行の指示で、Claude AIはVimの重大な欠陥を成功裏に特定し、複雑なツールも手作業での数週間の分析も必要ありませんでした。
この攻撃は、細工されたファイルを開く以上のユーザーインタラクションを必要としません。Vimのメンテナーは迅速に対応し、Vim v9.2.0172でパッチをリリースしており、すべてのユーザーに直ちにアップグレードするよう強く促しています。
Vimの結果に大胆になったCalifチームは、その後、Claudeに少し難しいタスクに挑戦させました。ユーザー確認プロンプトなしでプレーンテキストファイルを開いてトリガーされるRCEを見つけることです。
AIは再び成功し、Emacsをターゲットとした動作する概念実証エクスプロイトを生成し、細工されたアーカイブを抽出して開くだけで実現できます。
しかし、GNU Emacsのメンテナーの対応は全く異なっていました。彼らは脆弱性にパッチを当てることを拒否し、根本的な問題はEmacsではなくGitに関連していると考えています。
このため、欠陥は現在 パッチが当たらず争点となったままであり、信頼されていないソースからファイルまたはアーカイブを開くユーザーは、公式な修正がない中、リスクにさらされたままです。
Anthropicの独自のレッドチームデータはこの懸念を強めています。Claude Opus 4.6は既に本番オープンソースソフトウェアで500以上の高重大度ゼロデイを特定しており、数十年間の専門家レビューに耐えたバグも含まれています。
加速するトレンドを強調するために、Califは正式に「MAD Bugs: Month of AI-Discovered Bugs」を立ち上げました。
セキュリティチームは以下のステップに直ちに対応すべきです:
VimとEmacsの発見は根本的なシフトを強調しており、かつて専門家によるリバースエンジニアリングに数週間が必要だったものが、今では単一の適切に構成されたプロンプトで実現できます。
翻訳元: https://cyberpress.org/zero-day-alert-claude-ai/