TrustedSec vừa thử nghiệm thành công Claude AI để phân tích các file .NET và phát hiện lỗ hổng deserialization nghiêm trọng trong System.AddIn.dll (Windows). Không chỉ dừng ở việc phát hiện, Claude còn tự động truy vết chuỗi khai thác, xác định tham số dòng lệnh nguy hiểm, và tạo ra PoC hoàn chỉnh dẫn đến thực thi mã tùy ý thông qua AddinUtil.exe.
Claude AI hoạt động dựa trên việc tích hợp giao thức MCP và công cụ ilspycmd trong môi trường Docker, cho phép giải mã và phân tích mã máy .NET mà không cần chuyên gia bảo mật can thiệp. AI theo dõi chi tiết luồng gọi hàm – từ tham số dòng lệnh đến lệnh BinaryFormatter.Deserialize().
Claude đã chứng minh khả năng dựng lại cấu trúc thư mục và file .store đúng định dạng, với payload nhúng chuẩn xác để kích hoạt lỗi khi chạy AddinUtil.exe. Đây là một PoC thực sự khả thi và có thể tái hiện trong môi trường thực tế.
AI giờ đây không chỉ hỗ trợ – mà đã có thể chủ động tham gia vào quá trình phát hiện và mô phỏng khai thác lỗ hổng ở cấp độ chuyên gia. Sự dịch chuyển này đánh dấu một bước tiến trong tự động hóa khai thác, đồng thời đặt ra thách thức lớn đối với các hệ thống phòng thủ.
