Claude Opus ha scritto un exploit per Discord Desktop (Electron/Chromium): è costato appena 2.283 $ (aggiornato: 20 aprile 2026, ore 23:43)
- a cura di: massimo.valenti
- Commenti:
- Letture:
- Aggiornato: 20/04/2026, 23:43
- Pubblicato: 20/04/2026, 10:05
Autore umano, supporto AI
Gli articoli di TurboLab.it sono curati dagli utenti della nostra community, ma possono essere generati o migliorati tramite intelligenza artificiale.
Un exploit funzionante per il browser Chromium integrato in Discord Desktop, capace di eseguire codice arbitrario su macOS ARM64, è stato scritto in larga parte da un modello di intelligenza artificiale al costo di 2.283 dollari in chiamate API. Non è un esercizio teorico né un articolo accademico: è il risultato di un esperimento condotto da Mohan Pedhapati - noto come s1r1us, CTO di Hacktron - e pubblicato sul blog dell'azienda. La notizia solleva interrogativi urgenti sul rapporto tra intelligenza artificiale e sicurezza offensiva. Il modello utilizzato è Claude Opus di Anthropic.
» Leggi anche: Claude Opus 4.7 è ufficiale - ancora più potente per lo sviluppo software
Il tallone d'Achille si chiama patch gap
Le applicazioni basate su Electron, come Discord, Teams, Notion, Slack e moltissime altre, integrano una propria build di Chromium. Ma queste build sono statiche e indipendenti: non si auto-aggiornano, e spesso restano indietro di settimane o mesi rispetto alla versione upstream del browser.
Discord, al momento dell'esperimento, utilizzava Chrome 138, ben nove versioni principali dietro a Chrome 147, l'ultima disponibile. Non è un ritardo trascurabile: significa che vulnerabilità già corrette nel browser di Google rimangono spalancate in ogni applicazione Electron presente sulla macchina dell'utente.
Pedhapati conosce bene il problema. Ha presentato ricerche sullo sfruttamento del patch gap nelle applicazioni Electron al DEF CON USA 2022. La sua osservazione è chirurgica: «Una patch di sicurezza in Chromium o nel kernel Linux ti dice esattamente cosa era rotto. Fare ingegneria inversa delle patch richiedeva competenza e tempo». L'arrivo dell'intelligenza artificiale comprime drasticamente quel tempo.
C'è un dettaglio aggravante nel caso di Discord Desktop: la finestra principale dell'applicazione gira senza sandbox. Questo riduce la catena di exploit necessaria da tre bug a due, semplificando il lavoro dell'attaccante - o, in questo caso, del modello.
Anatomia dell'exploit: due vulnerabilità, una catena letale
La catena costruita da Claude Opus poggia su due vulnerabilità distinte. La prima è CVE-2026-5873, una falla di lettura e scrittura fuori dai limiti (out-of-bounds) nel compilatore Turboshaft di V8 per WebAssembly. Corretta in Chrome 147.0.7727.55, permetteva di aggirare i controlli sui limiti dopo la compilazione tier-up, consentendo la manipolazione arbitraria della memoria all'interno dell'heap di V8. Secondo la classificazione NVD, un attaccante remoto poteva sfruttarla per eseguire codice arbitrario all'interno della sandbox di Chrome tramite una pagina HTML appositamente costruita.
La seconda vulnerabilità è un use-after-free nella WebAssembly Code Pointer Table (WasmCPT) di V8. Corrompendo la tabella di dispatch delle importazioni e innescando una confusione di tipo, il modello è riuscito a evadere completamente la sandbox di V8. Il risultato: accesso in lettura e scrittura all'intero spazio di indirizzi virtuali del processo.
Combinando le due falle, Claude Opus ha generato un payload che reindirizzava l'esecuzione alla cache dyld del sistema, lanciando comandi arbitrari su un target macOS ARM64. La dimostrazione classica: l'apertura dell'applicazione Calcolatrice. Banale in apparenza, ma è la prova canonica che l'esecuzione di codice arbitrario è stata raggiunta.
Una settimana, 22 sessioni, 27 tentativi falliti
Il lavoro necessario per generare l'attacco è durato circa una settimana, distribuito su 22 sessioni con Claude Opus. Prima di arrivare a un exploit funzionante, il modello ha percorso 27 strade sbagliate. In totale sono stati consumati circa 2,33 miliardi di token in 1.765 richieste API, per un costo complessivo di 2.283 dollari. Pedhapati ha investito circa 20 ore di supervisione umana.
Un punto va sottolineato: il ricercatore non ha scritto direttamente il codice dell'exploit né ha spiegato al modello i dettagli interni di V8. Il suo ruolo è stato quello di orchestratore - intervenire quando il modello si bloccava, reindirizzarlo, fornire l'output del debugger LLDB per mantenerlo sulla rotta giusta.
Le crepe nell'autonomia del modello
Chi immaginasse Claude Opus come un hacker autonomo capace di operare senza guida si sbaglia. L'esperimento ha messo in luce limiti significativi. Il modello ha sofferto di quello che Pedhapati definisce context collapse: nelle conversazioni lunghe perdeva il filo del ragionamento. Speculava sugli offset di memoria invece di verificarli. Finiva intrappolato in cicli logici da cui non riusciva a uscire senza intervento esterno.
Servivano impalcature operative continue: il ricercatore alimentava il modello con dati freschi dal debugger, lo correggeva quando deragliava, lo costringeva a cambiare approccio dopo i vicoli ciechi. Non è automazione completa. È collaborazione asimmetrica tra un esperto umano e un modello capace di generare e iterare codice a una velocità impensabile per un singolo ricercatore.
Eppure è proprio questo il punto: nonostante i limiti, il risultato è un exploit funzionante. Il livello di competenza umana necessario per guidare il processo è notevolmente inferiore a quello richiesto per scrivere l'exploit da zero.
Duemilatrecento dollari e la fine di un'era
La cifra fa riflettere. Produrre un exploit per un browser basato su Chromium richiedeva tradizionalmente mesi di lavoro da parte di specialisti con competenze rare e costose. Qui parliamo di una settimana, 20 ore di supervisione e una fattura API che molte aziende non noterebbero nemmeno nel bilancio mensile del cloud.
Pedhapati non nasconde le implicazioni: «Prima o poi, qualsiasi script kiddie con abbastanza pazienza e una chiave API sarà in grado di ottenere l'esecuzione di codice su software non aggiornato. È una questione di quando, non di se». Una nota sarcastica aggiunge un livello di ironia: al momento dell'esperimento, lo stesso Claude Desktop - l'applicazione client di Anthropic - utilizzava Chrome 146, la stessa versione di V8 affetta dalla vulnerabilità OOB sfruttata nell'exploit. Il ricercatore stima con il 60% di fiducia che sarebbe possibile compromettere Claude Desktop stesso con poche migliaia di dollari e sufficiente supervisione.
Il rischio strutturale è chiaro: se i modelli di intelligenza artificiale migliorano nella capacità di trasformare le patch pubbliche in exploit più velocemente di quanto i produttori di software applichino quelle stesse patch, il patch gap diventa catastroficamente più pericoloso.
Lo sfondo: Claude Mythos e Project Glasswing
L'esperimento di Pedhapati è arrivato pochi giorni dopo che Anthropic ha presentato Claude Mythos Preview e il Project Glasswing. Mythos non è stato rilasciato pubblicamente, ma la scheda tecnica di 244 pagine pubblicata dall'azienda descrive capacità che lasciano poco spazio all'ottimismo: il modello avrebbe trovato autonomamente migliaia di vulnerabilità zero-day in tutti i principali sistemi operativi e browser.
I casi citati da Anthropic sono specifici. Una vulnerabilità vecchia di 27 anni nello stack TCP di OpenBSD. Una falla di 16 anni in un codec FFmpeg sfuggita a oltre 5 milioni di test automatizzati. CVE-2026-4747: un'esecuzione di codice remoto vecchia di 17 anni in FreeBSD, con accesso root senza autenticazione, per la quale Mythos ha costruito autonomamente una catena ROP di 20 gadget distribuita su più pacchetti di rete dopo un singolo prompt. Escalation di privilegi nel kernel Linux concatenando tre o quattro vulnerabilità distinte, da utente non privilegiato a root.
Anthropic non si è sottratta alla domanda implicita: «Nessuna di queste capacità è stata esplicitamente addestrata. Sono emerse come effetto secondario di miglioramenti generali nel codice, nel ragionamento e nell'autonomia».
Per bilanciare il quadro, Anthropic ha lanciato Project Glasswing come coalizione difensiva. I membri includono AWS, Apple, Microsoft, Google, CrowdStrike, Cisco, JPMorgan Chase, NVIDIA, Palo Alto Networks, Broadcom e la Linux Foundation. L'azienda ha impegnato 100 milioni di dollari in crediti per finanziare ricerca sulla sicurezza difensiva, donato 2,5 milioni alla Alpha-Omega e alla OpenSSF tramite la Linux Foundation e 1,5 milioni alla Apache Software Foundation. Oltre 40 organizzazioni hanno ricevuto accesso anticipato controllato per analizzare infrastrutture critiche.
Il vero problema è a valle
L'esperimento di Pedhapati non dimostra che l'intelligenza artificiale possa sostituire un ricercatore di sicurezza esperto. Dimostra qualcosa di più sottile e, per certi versi, più preoccupante: che il livello di competenza necessario per produrre un exploit reale si sta abbassando rapidamente. La combinazione di un patch gap cronico nelle applicazioni Electron, della disponibilità pubblica delle patch - che fungono da mappe del tesoro per chi vuole sfruttare le falle - e di modelli linguistici sempre più capaci nella generazione di codice crea una superficie di attacco che si allarga con ogni settimana di ritardo negli aggiornamenti.
La responsabilità non è solo di Anthropic o degli sviluppatori di modelli. È degli sviluppatori di applicazioni Electron che trattano l'aggiornamento di Chromium come un'incombenza secondaria. È degli utenti che lasciano aperte applicazioni desktop senza verificarne la versione del motore sottostante. Ed è dell'intero ecosistema, che ha normalizzato l'idea che un'applicazione di chat possa girare con un browser vecchio di nove versioni principali senza che nessuno alzi un sopracciglio.
