Aisle finner fler fel Mythos missat

Skriv ut


En bugg i operativ­systemet Free BSD ger systemrättigheter. Felet är rättat men den som hittade felet – lilla tjeckiska Aisle – vill att alla ska notera vilken konkurrent som missade det – stora ame­rikanska Anthropic.

Aisle har hittat en sårbarhet i Free BSD. Den presenterades i måndags – nu åtgärdad – av projektet Free BSD.

Felet fanns i en IPv4-DHCP-klient och noterades i USA:s sårbarhetsregister som CVE-2026-42511. Buggen målas i röd färg som ”8.1 High” på en tiogradig skala.

En lömskt programmerad DHCP-server kunde köra godtyckliga kommandon på DHCP-klienter som sökte kontakt. Servern kunde smyga in godtyckliga kommandon i offrets kon­fi­gu­re­ring­sfil genom att ge sig själv ett namn med ett citationstecken. Det är en klassisk bugg, icke-desinficerad indata, också känd som en ”Bobby Tables”.

Sårbarheten upptäcktes den 13 april av Joshua Rogers. Om du känner igen namnet kan det vara för att Elektroniktidningen skrev mycket om honom i höstas. Han är en pionjär inom LLM-stödd buggjakt och jobbar numera på Aisle, en annan av pionjärerna.

Vd för Aisle, Ondrej Vlcek, kommenterar Rogers fynd på följande sätt:

Ondrej Vlcek

– Det här är viktigt inte bara för att fjärr­exe­kvering av kod som root är så allvarlig som en bugg kan bli, utan också för att Free BSD fanns med i Anthropics annonsering om Mythos – och Mythos missade den.

Aisle har redan tidigare mätt sig mot Mythos – den buggjakts-LLM som AI-jätten Anthropic lan­se­rade i början av april efter att ha profeterat att världen står inför en cyberapokalyps i ett hagelregn av kodsårbarheter utpekade av AI.

Med Mythos kan du hitta bug­garna i din kod innan skurkarna hittar dem.

Aisles växande hög av buggfynd visar att den typ av buggar som Mythos fått publicitet för, redan har kunnat hittas i stor skala av AI sedan minst ett halvår.

Det betyder att cyber­apo­ka­lyp­sen startade för ett halvår sedan. Huruvida Mythos och andra framtida LLM:er kommer att släppa lös ytterligare apo­ka­lyp­sens ryttare är något som återstår att se.

Aisles egen teori är att olika LLM:er verkar vara bra på att hitta olika sårbarheter. Och att felsökningsverktyg är mer än sin LLM – koden som anropar LLM:erna kan vara avgörande. Liksom människan som använder verktyget.

Joshua Rogers

Joshua Rogers hittade DHCP-sårbarheten med hjälp av Aisles eget verktyg Analyzer.

– No Mythos required :-)