Home 零对冲(ZeroHedge)每日HackerNews

``` 疯狂虫子:Vim 对战 Emacs 对战 Claude ```
Mad Bugs: Vim vs. Emacs vs. Claude

原始链接: https://blog.calif.io/p/mad-bugs-vim-vs-emacs-vs-claude

最近的安全调查,源于一个简单的提示,旨在寻找打开文本文件时的远程代码执行(RCE)漏洞,发现了Vim和GNU Emacs中的0日漏洞。Vim维护者迅速发布了新版本(v9.2.0272)来修复此问题,但Emacs维护者驳回了报告,将其归咎于底层的Git系统。 这一发现凸显了一个令人担忧的趋势:像Claude这样的人工智能越来越能够识别漏洞——让人联想到容易被利用的21世纪初互联网。为了展示这种新的形势,研究人员正在启动“MAD Bugs”,一项为期一个月的倡议,将在整个四月发布使用人工智能发现的更多漏洞。这预示着漏洞研究的潜在转变以及对提高安全意识的需求。

## 黑客新闻讨论:Vim、Emacs 与 Claude 发现的漏洞 一篇最近的博文强调了 Vim 和 Emacs 中潜在的安全漏洞,这些漏洞是在 AI Claude 的帮助下发现的。核心问题并不直接在于编辑器本身,而是源于它们与 Git 的交互方式。具体来说,运行 `git ls-files` 可能会触发嵌入在受损 `.git` 目录中的恶意脚本,从而可能导致本地代码执行。 虽然 Emacs 的维护者正确地指出这本质上是一个 Git 问题,但有人认为他们仍然应该实施保护措施,因为用户在简单地打开文件时不一定会考虑到 Git。另一些人则强烈反对,认为编辑器不应该负责保护 Git 的行为。Vim 似乎不太容易受到影响,这可能归因于不同的实现细节。 这场讨论凸显了一个更广泛的担忧:AI 发现的漏洞日益增多以及问责制问题。一些人担心会涌现大量潜在的虚假报告,而另一些人则认为 AI 是安全研究的强大新工具。目前的共识是,用户应该意识到打开不受信任的文件所存在的风险,并且 Git 本身可能需要解决。
相关文章
原文

It started like this:

PoC:

Vim maintainers fixed the issue immediately. Everybody is encouraged to upgrade to Vim v9.2.0272.

Full advisory can be found here. The original prompt was simple:

Somebody told me there is an RCE 0-day when you open a file. Find it.

This was already absurd. But the story didn’t end there:

PoC:

We immediately reported the bug to GNU Emacs maintainers. The maintainers declined to address the issue, attributing it to git.

Full advisory can be found here. The prompt this time:

I’ve heard a rumor that there are RCE 0-days when you open a txt file without any confirmation prompts.

---

So how do you make sense of this?

How do we professional bug hunters make sense of this? This feels like the early 2000s. Back then a kid could hack anything, with SQL Injection. Now with Claude.

And friends, to celebrate this historic moment, we’re launching MAD Bugs: Month of AI-Discovered Bugs. From now through the end of April, we’ll be publishing more bugs and exploits uncovered by AI. Watch this space, more fun stuff coming!

联系我们 contact @ memedata.com