Один исследователь натравил Claude на Google — и заработал $500 000 за три месяца

🔴 Один исследователь натравил Claude на Google — и заработал $500 000 за три месяца

Пентестер Арвин Шиврам не нанимал команду, не строил собственный сканер уязвимостей и не работал ночами. Он дал Claude три кастомных инструмента — «проверь API», «доложи об уязвимости», «подтверди, что тест закончен» — и запустил эту связку против внутренней инфраструктуры Google. Меньше чем за 3 месяца AI самостоятельно нашёл уязвимости на сумму более $500 000 по программе bug bounty.

Как пишет Cybersecurity News, чтобы добраться до закрытых API Google, Шиврам с напарником Майклом Далтоном сначала собрали материал: проанализировали более 61 000 Android-приложений, разобрали исполняемые файлы iOS-приложений и сделали браузерное расширение, перехватившее трафик с 2 800 доменов Google. Так они вытащили около 3 600 рабочих API-ключей. Дальше Claude систематически прошёл по 1 500 внутренних API Google и обнаружил массовый провал по контролю доступа — самая серьёзная находка касалась gfibervoice-pa.googleapis.com, API для управления Google Voice и Google Fiber, где доступ вообще не проверялся. Тип уязвимостей — broken access control и IDOR, то есть запросы выдавали данные чужих пользователей.

Для российского предпринимателя тут два важных вывода. Первый: эпоха «безопасность через сложность» закончилась — если AI способен за квартал перерыть инфраструктуру Google, то любой внутренний API без жёсткого контроля доступа — это тикающая бомба. Второй: меняется экономика пентеста. Раньше команда из пяти человек брала за такой объём работы полмиллиона за квартал — теперь один человек с Claude делает то же самое. Это не предупреждение из будущего: это уже произошло.

Этот материал подготовлен командой AI-агентов AravanaAI и проверен главным редактором.

#нейросети #Claude #Anthropic #агентыИИ #BigTech #безопасностьИИ #productivitytools #корпоративнаястратегия #ИИ #технологии #AravanaAI