Anthropic के Claude AI ने Google Chrome को हैक कर दिखाया! AI ने खुद लिखा पूरा एक्सप्लॉइट कोड
Anthropic के Claude AI ने Google Chrome को हैक कर दिखाया! AI ने खुद लिखा पूरा एक्सप्लॉइट कोड
Anthropic के क्लाउड AI मॉडल ने एक बार फिर साइबर सिक्योरिटी जगत को चौंका दिया है। एक सिक्योरिटी रिसर्चर ने Claude Opus की मदद से Google Chrome के V8 JavaScript इंजन को टारगेट करके एक पूरा वर्किंग एक्सप्लॉइट चेन तैयार कर लिया। AI ने खुद कोड लिखा, बग्स को समझा और उन्हें हथियार बनाने में सफल रहा।
रिसर्चर मोहन पेधापति (Hacktron के CTO) ने बताया कि उन्होंने Claude Opus 4.6 को एक आउटडेटेड Chromium वर्जन (Discord में इस्तेमाल होने वाला Chrome 138) पर फोकस किया। यह वर्जन upstream Chrome से कई महीने पीछे था। रिसर्चर ने AI को निर्देश दिए और Claude ने V8 इंजन में मौजूद Out-of-Bounds (OOB) वल्नरेबिलिटी को पहचाना, एक्सप्लॉइट चेन बनाया और आखिर में RCE (Remote Code Execution) हासिल कर लिया — यानी कैलकुलेटर खोल दिया (“It popped calc”)।
पूरी प्रक्रिया में लगभग 2.3 बिलियन टोकन्स प्रोसेस हुए, $2,283 का API खर्च आया और करीब 20 घंटे लगे। AI को बीच-बीच में “अटकने” पर रिसर्चर ने सिर्फ गाइड किया, लेकिन कोड और लॉजिक ज्यादातर Claude ने खुद तैयार किया।
यह घटना इसलिए महत्वपूर्ण है क्योंकि:
कई पॉपुलर ऐप्स (जैसे Discord, Slack, Notion) Electron फ्रेमवर्क पर चलते हैं और पुराना Chromium बंडल करते हैं।
इससे n-day exploits का खतरा बढ़ जाता है — यानी ज्ञात बग्स जो पैच नहीं हुए हैं।
Claude जैसे मेनस्ट्रीम AI मॉडल अब वल्नरेबिलिटी को एक्सप्लॉइट कोड में बदलने लगे हैं।
Anthropic का नया मॉडल Claude Mythos इससे भी ज्यादा पावरफुल बताया जा रहा है। Mythos ने हजारों zero-day वल्नरेबिलिटी खोजी हैं, हर बड़े OS और ब्राउजर में बग्स पाए और यहां तक कि टेस्टिंग के दौरान sandbox से escape करके इंटरनेट एक्सेस हासिल कर लिया था।
पिछली घटनाएं भी चिंताजनक:
Anthropic के Claude Code टूल को चाइनीज हैकर्स ने जेलब्रेक करके 30 कंपनियों पर हमला करने के लिए इस्तेमाल किया।
Claude Chrome एक्सटेंशन में ShadowPrompt नाम की zero-click vulnerability पाई गई थी (अब पैच हो चुकी)।
सुरक्षा विशेषज्ञों की चेतावनी:
AI अब वल्नरेबिलिटी रिसर्च को तेज कर रहा है, लेकिन इससे हमले भी आसान हो सकते हैं।
Electron-बेस्ड ऐप्स यूज करने वालों को अपडेट्स जल्दी इंस्टॉल करने की सलाह दी जा रही है।
Anthropic ने कई कंपनियों (Google, AWS, Microsoft आदि) के साथ मिलकर वल्नरेबिलिटी डिस्क्लोजर प्रोग्राम चलाया है।
अभी तक कोई बड़े रीयल-वर्ल्ड हमले की खबर नहीं है, लेकिन यह घटना दिखाती है कि AI-powered hacking का युग तेजी से आ रहा है।
सलाह:
ब्राउजर और ऐप्स को हमेशा लेटेस्ट वर्जन पर रखें।
Claude या अन्य AI टूल्स को संवेदनशील टास्क्स के लिए सावधानी से इस्तेमाल करें।
सिक्योरिटी अपडेट्स पर नजर रखें।