Некоторое время назад Anthropic заявила, что ИИ-модель Claude Mythos впервые самостоятельно обнаружила и эксплуатировала удаленную уязвимость в ядре FreeBSD.
Однако чуть позже стало известно, что речь идет не о новой ошибке.
ИИ нашел старую уязвимость в новом месте
Речь идет о CVE-2026-4747 — переполнении буфера в RPCSEC_GSS, компоненте сетевой файловой системы FreeBSD. Уязвимость позволяла удаленно выполнить код через специально сформированный RPC-запрос.
Проблема оказалась максимально классической: в коде отсутствовала проверка длины данных перед memcpy, из-за чего можно было переписать стек.
Исследователи быстро заметили, что почти идентичная ошибка уже существовала в MIT Kerberos и была исправлена еще в 2007 году под номером CVE-2007-3999. Более того, патч FreeBSD 2026 года практически повторяет исправление почти 20-летней давности.
И причина проста — код RPCSEC_GSS в FreeBSD исторически был основан на старых наработках MIT Kerberos и ONC RPC от Sun Microsystems. В результате уязвимый фрагмент пережил годы копирований и миграций между проектами.
Это не «магия ИИ», а поиск шаблонов
Авторы разбора считают, что Mythos не создал принципиально новую технику взлома. Скорее, модель сопоставила паттерны из данных, на которых обучалась, с текущим кодом FreeBSD. И в итоге нашла давно известную проблему в другом месте.
Главная проблема — старый уязвимый код
История с Mythos показывает другую проблему: ИИ начинает массово воспроизводить старые небезопасные практики из кода, на котором обучался.
Разработчики отмечают, что LLM все чаще генерируют фрагменты с устаревшими ошибками, а затем другие ИИ-системы учатся находить и эксплуатировать эти же паттерны. В результате старые уязвимости получают вторую жизнь уже в эпоху генеративного ИИ.
