Claude Code crackea FreeBSD en cuatro horas

El investigador de seguridad Nicholas Carlini, apoyado por el modelo de IA de Anthropic Claudeidentificó una vulnerabilidad en el sistema operativo FreeBSD y la explotó en cuatro horas. Claude también fue capaz de crear un exploit funcional. La vulnerabilidad ha sido reportada como CVE-2026-4747.

El sistema operativo FreeBSD sirve de base para una amplia variedad de productos en muchos sectores técnicos. Empresas como IBM, Nokia, Juniper Networks y NetApp utilizan el sistema para desarrollar sus infraestructuras. Partes del macOS de Apple también se basan en componentes de FreeBSD.

En la industria del entretenimiento, pueden encontrarse elementos de FreeBSD en los sistemas operativos de la PlayStation 3, la PlayStation 4 y la Nintendo Switch. Además, servicios a gran escala orientados a la red como Netflix y WhatsApp se basan en la arquitectura de este sistema. La vulnerabilidad se encuentra en el módulo RPCSEC_GSS, responsable de la autenticación Kerberos en servidores NFS.

La explotación utilizaba el llamado desbordamiento del búfer de pila. En este proceso, los datos se escriben en una zona de memoria que no es lo suficientemente grande, lo que puede provocar que se sobrescriban zonas de memoria adyacentes. La información relativa a un próximo modelo de Anthropic, denominado "Mythos", sugiere que este tipo de exploits podrían producirse en un tiempo aún menor.

La velocidad a la que se identifican las vulnerabilidades y se convierten directamente en exploits funcionales está cambiando la dinámica de la seguridad informática. Mientras que los ciclos de parcheo tradicionales -el periodo entre un aviso de seguridad y la instalación de una actualización- pueden durar a menudo semanas en los entornos corporativos, la explotación automatizada ya está operando en el rango de las horas.