Claude AI avdekker kritiske zero-day-sårbarheter i Vim og Emacs

Sikkerhetsforskere har brukt Anthropics Claude AI til å avdekke alvorlige Remote Code Execution-sårbarheter i to av verdens mest brukte teksteditorer: Vim og GNU Emacs.

Sårbarhetene lar en angriper kjøre vilkårlig kode bare ved at offeret åpner en spesiallaget fil. I Vim utnytter feilen modeline-håndteringen i versjoner til og med 9.2.0271, mens Emacs-sårbarheten er knyttet til Git-kall som kjøres automatisk.

Vim-vedlikeholderne reagerte raskt og slapp en patch i versjon 9.2.0272. Emacs-teamet har derimot ikke laget en fix, og mener at det underliggende problemet ligger i Git, ikke i Emacs selv. Brukere oppfordres til å være forsiktige med filer fra ukjente kilder.

Hendelsen markerer et vendepunkt for sårbarhetsforskning. Claude ble gitt enkle prompter om å finne zero-day RCE-sårbarheter, og klarte å identifisere reelle, utnyttbare feil i velkjent programvare som har vært i bruk i flere tiår.

Samtidig har Georgia Tech-forskere publisert en rapport som viser en økning i CVE-er direkte knyttet til AI-generert kode, der Claude Code ofte er involvert. Det reiser spørsmål om AI som tveegget sverd: kraftig for sikkerhetsforskning, men også en potensiell kilde til nye sårbarheter.

For CIO-er og IT-ledere er budskapet klart: oppdater Vim umiddelbart, vær varsom med Emacs inntil en patch foreligger, og vurder hvordan AI-verktøy kan integreres i egne sikkerhetsrutiner.