KI-Agent nutzt selbstständig FreeBSD-Kernel-Schwachstelle aus

KI-Agent entwickelt Kernel-Exploit

Ein autonom agierender KI-Agent hat eine kritische Kernel-Schwachstelle in FreeBSD nicht nur analysiert, sondern bis zur lauffähigen Ausnutzung gebracht. Nach Angaben des Anthropic-Sicherheitsforschers Nicholas Carlini entwickelte Claude innerhalb von vier Stunden aktiver Arbeitszeit einen funktionierenden Remote-Code-Execution-Exploit für CVE-2026-4747.

Der Fall ist deshalb relevant, weil er zeigt, wie weit agentische Systeme bereits in Arbeitsbereiche vordringen, die bisher stark von menschlicher Exploit-Erfahrung geprägt waren: Umgebung aufsetzen, Crash-Dumps auswerten, Offsets korrigieren, Payloads anpassen und Fehler iterativ beheben.

Hintergrund zur Schwachstelle CVE-2026-4747

Die Schwachstelle liegt im Kernel-Modul kgssapi.ko, das für die RPCSEC_GSS-Authentifizierung des NFS-Servers zuständig ist. Laut dem offiziellen FreeBSD-Security-Advisory kopiert die Funktion svc_rpc_gss_validate() einen Credential-Body in einen 128-Byte-Stack-Buffer, ohne die Länge ausreichend zu prüfen. Dadurch können böswillige Clients einen Stack-Overflow auslösen.

Betroffen sind unterstützte FreeBSD-Versionen vor den Patches vom 26. März 2026. Das Problem ist über den NFS-Port 2049/TCP erreichbar, sofern der Server Kerberos-basierte Authentifizierung nutzt und das anfällige Modul geladen ist.

Der Weg zum funktionierenden Exploit

Der Anthropic-Forscher gab dem Modell die Anweisung, einen Exploit für die genannte CVE zu entwickeln. Um dieses Ziel zu erreichen, musste Claude mehrere technische Hürden ohne direkte menschliche Eingriffe überwinden. Zunächst konfigurierte der Agent eine FreeBSD-VM inklusive NFS, Kerberos und Remote-Debugging-Tools für die Crash-Dump-Analyse.

Da der benötigte Code nicht in ein einzelnes Datenpaket passte, entwarf das Modell eine mehrstufige Strategie. In mehreren Runden bereitete der Exploit Kernel-Speicher für die Ausführung vor und schrieb Code in kleinen Blöcken in den Speicher. Um Abstürze des Servers zu vermeiden, nutzte Claude Systemaufrufe wie kthread_exit(), sodass gekaperte NFS-Kernel-Threads nach einzelnen Schritten beendet wurden und der Server für weitere Versuche erreichbar blieb.

Bemerkenswert ist vor allem der Umgang mit Fehlern während der Entwicklung. Als initiale Stack-Offsets aus dem Disassembly nicht stimmten, sendete Claude De-Bruijn-Muster, analysierte die resultierenden Crash-Dumps und korrigierte die Werte eigenständig. Auch Probleme durch veraltete Debug-Register löste das Modell, indem es die Register vor dem Erstellen neuer Prozesse bereinigte. Am Ende gelang der Übergang vom Kernel- in den User-Mode, um eine interaktive Root-Shell aufzubauen.

Bedeutung für die IT-Sicherheit

Fuzzer wie AFL oder syzkaller helfen seit Jahren dabei, Kernel-Schwachstellen aufzuspüren. Die eigentliche Exploit-Entwicklung blieb jedoch ein deutlich anspruchsvollerer Schritt. Sie erfordert Betriebssystemwissen, Verständnis für Speicherlayouts und die Fähigkeit, auf fehlgeschlagene Debugging-Versuche flexibel zu reagieren.

Dass ein KI-Agent diese Arbeitsschritte in einem dokumentierten Fall autonom ausführt, ist für defensive Teams ebenso relevant wie für Angreifer. Auf der defensiven Seite können solche Systeme helfen, Patches schneller zu prüfen und realistische Angriffspfade früher zu verstehen. Gleichzeitig sinkt potenziell die Hürde, aus bekannten oder neu entdeckten Schwachstellen funktionierende Exploits abzuleiten.

Gegenmaßnahmen und Patches

Das FreeBSD-Projekt hat am 26. März 2026 Patches veröffentlicht. Das Problem wurde durch einen Bounds-Check behoben, der die Länge der Authentifizierungsdaten vor dem Kopiervorgang prüft:

if (oa->oa_length > sizeof(rpchdr) - 8 * BYTES_PER_XDR_UNIT) {
    rpc_gss_log_debug("auth length %d exceeds maximum", oa->oa_length);
    client->cl_state = CLIENT_STALE;
    return (FALSE);
}

Administratoren, die NFS-Server unter FreeBSD betreiben, sollten ihre Systeme auf die gepatchten Versionen aktualisieren. Direkte Workarounds nennt das FreeBSD-Advisory nicht; Systeme, auf denen kgssapi.ko nicht geladen ist, sind von dieser konkreten Schwachstelle nicht betroffen.

Was daraus folgt

Der Fall ist weniger eine Modellshow als ein Hinweis auf eine Verschiebung im Sicherheitsalltag. Agenten können nicht nur Text erklären oder Code vorschlagen, sondern komplexe technische Untersuchungen zunehmend als geschlossene Arbeitskette ausführen.

Für Verteidiger bedeutet das: Patch-Validierung, Reproduzierbarkeit und kontrollierte Sicherheitsanalysen werden wichtiger. Für Angreifer gilt dieselbe Automatisierung jedoch ebenfalls. Genau deshalb ist der Fall ein starkes Signal dafür, dass Sicherheitsprozesse künftig stärker mit agentischen Werkzeugen rechnen müssen – nicht nur in der Forschung, sondern auch im produktiven Betrieb.