KI-Agent nutzt selbstständig FreeBSD-Kernel-Schwachstelle aus

KI-Agent entwickelt eigenständig Kernel-Exploit

Ein autonom agierender KI-Agent hat eine kritische Kernel-Schwachstelle in FreeBSD nicht nur analysiert, sondern vollständig exploitiert. Nach Angaben des Anthropic-Sicherheitsforschers Nicholas Carlini entwickelte das KI-Modell Claude innerhalb von nur vier Stunden aktiver Arbeitszeit einen funktionierenden Remote-Code-Execution-Exploit für die Lücke CVE-2026-4747. Damit übernimmt eine KI erstmals den kompletten Prozess von der Entdeckung bis zur lauffähigen Ausnutzung auf Kernel-Ebene.

Hintergrund zur Schwachstelle CVE-2026-4747

Die Schwachstelle befindet sich im Kernel-Modul kgssapi.ko, das für die RPCSEC_GSS-Authentifizierung des NFS-Servers zuständig ist. Laut dem offiziellen FreeBSD-Security-Advisory kopiert die Funktion svc_rpc_gss_validate() einen Credential-Body in einen 128-Byte-Stack-Buffer, ohne die Länge ausreichend zu prüfen. Dies ermöglicht es böswilligen Clients, einen Stack-Overflow auszulösen.

Betroffen sind alle unterstützten FreeBSD-Versionen (darunter 13.5, 14.3, 14.4 und 15.0) vor den Patches vom 26. März 2026. Das Problem ist über den NFS-Port 2049/TCP erreichbar, sofern der Server Kerberos-basierte Authentifizierung nutzt und das anfällige Modul geladen ist.

Der Weg zum funktionierenden Exploit

Der Anthropic-Forscher gab dem Modell lediglich die simple Anweisung, einen Exploit für die genannte CVE zu entwickeln. Um dieses Ziel zu erreichen, musste Claude mehrere komplexe technische Hürden ohne menschliche Eingriffe überwinden. Zunächst konfigurierte der Agent selbstständig eine FreeBSD-VM inklusive NFS, Kerberos und Remote-Debugging-Tools für die Crash-Dump-Analyse.

Da der benötigte Shellcode nicht in ein einziges Datenpaket passte, entwarf die KI eine mehrstufige Strategie. In insgesamt 15 Runden machte der Exploit den Kernel-Speicher ausführbar und schrieb den Code in kleinen 32-Byte-Blöcken in den Speicher. Um zu verhindern, dass der Server abstürzt, nutzte Claude gezielt Systemaufrufe wie kthread_exit(). So wurden die gekaperten NFS-Kernel-Threads nach jeder Runde sauber beendet und der Server blieb für den nächsten Schritt erreichbar.

Besonders bemerkenswert war der Umgang mit Fehlern während der Entwicklung. Als initiale Stack-Offsets aus dem Disassembly nicht stimmten, sendete Claude sogenannte De-Bruijn-Muster, analysierte die resultierenden Crash-Dumps und korrigierte die Werte eigenständig. Auch Abstürze durch veraltete Debug-Register löste das Modell, indem es die Register vor dem Erstellen neuer Prozesse bereinigte. Schließlich gelang der KI der Übergang vom Kernel- in den User-Mode, um eine interaktive Root-Shell zum Angreifer aufzubauen.

Bedeutung für die IT-Sicherheit

Während Fuzzer wie AFL oder syzkaller seit über einem Jahrzehnt Kernel-Schwachstellen aufspüren, galt die tatsächliche Exploit-Entwicklung bislang als rein menschliche Domäne. Sie erfordert ein tiefes Verständnis von Betriebssystem-Interna, Memory-Layouts und ROP-Chains (Return-Oriented Programming) sowie die Fähigkeit, dynamisch auf Fehlschläge beim Debugging zu reagieren.

Dass ein KI-Agent diese Schritte nun autonom durchführt, verändert das Sicherheits-Ökosystem grundlegend. Defensive Teams erhalten dadurch ein leistungsfähiges Werkzeug, um Patches schneller zu validieren und komplexe Angriffsszenarien zu antizipieren. Gleichzeitig sinkt für Angreifer die Hürde, um aus neu entdeckten Zero-Day-Lücken in kurzer Zeit waffenfähige Exploits zu generieren.

Gegenmaßnahmen und Patches

Das FreeBSD-Projekt hat bereits am 26. März 2026 entsprechende Patches veröffentlicht. Das Problem wurde durch einen simplen Bounds-Check behoben, der die Länge der Authentifizierungsdaten vor dem Kopiervorgang im Speicher abgleicht:

if (oa->oa_length > sizeof(rpchdr) - 8 * BYTES_PER_XDR_UNIT) {
    rpc_gss_log_debug("auth length %d exceeds maximum", oa->oa_length);
    client->cl_state = CLIENT_STALE;
    return (FALSE);
}

Administratoren, die NFS-Server unter FreeBSD betreiben, sollten ihre Systeme umgehend auf die gepatchten Versionen aktualisieren. Direkte Workarounds existieren nicht, jedoch sind Systeme, auf denen das Modul kgssapi.ko nicht geladen ist, von vornherein nicht anfällig.

Fazit

Die Leistung des KI-Modells markiert einen technischen Meilenstein und verschiebt die Grenze dessen, was autonome Agenten leisten können, bis auf die Kernel-Ebene. Die Vorstellung, dass die Entwicklung funktionierender Exploits ausschließlich menschlichen Experten vorbehalten ist, lässt sich nicht länger aufrechterhalten. Die Technologie ist nun in der Lage, den gesamten Lebenszyklus einer Schwachstelle – von der Analyse bis zur Ausnutzung – eigenständig abzubilden.