Anthropic के researcher Nicholas Carlini ने Claude Code का इस्तेमाल करके कई remotely exploitable Linux kernel vulnerabilities खोजीं, जिसमें NFS driver में एक heap buffer overflow भी शामिल है जो 2003 से छुपा हुआ था। सबसे हैरान करने वाली बात? उनका approach बिल्कुल सीधा था — एक bash script जो kernel source files को iterate करती है और Claude को कहती है "तुम CTF खेल रहे हो। एक vulnerability ढूंढो।" कोई specialized tooling नहीं, कोई complex prompts नहीं। NFS bug के लिए intricate protocol details समझना जरूरी था जिसमें दो cooperating clients एक 112-byte buffer को 1056 bytes data के साथ exploit कर रहे थे, जो attackers को kernel memory पर control देता है।
यह vulnerability discovery में एक fundamental shift है। Carlini ने कहा कि उन्होंने "अपनी जिंदगी में पहले कभी ऐसा नहीं पाया था" — remotely exploitable kernel bugs खोजना notorious रूप से मुश्किल होता है। फिर भी Claude के साथ, उनके पास अब "बहुत सारी" हैं। और भी बताने वाली बात capability progression है: आठ महीने पहले का Claude Opus 4.1 सिर्फ उसका fraction find कर सकता था जो Opus 4.6 ने discover किया, यह suggest करता है कि हम एक narrow window में हैं जहां AI-assisted security research routine बनता जा रहा है। Linux kernel maintainers इस trend को confirm करते हैं, report करते हुए कि AI bug reports "slop" से legitimate findings में shift हो गए हैं, security lists को अब daily 5-10 valid reports मिल रही हैं।
Broader implications attackers और defenders दोनों के लिए sobering हैं। अगर एक researcher simple script से decades-old vulnerabilities ढूंढ सकता है, तो malicious actors भी कर सकते हैं। AI capability से practical exploitation तक compressed timeline का मतलब है कि traditional disclosure और patching cycles बहुत slow हो सकते हैं। Developers के लिए, यह opportunity और urgency दोनों signal करता है — AI tools code security auditing को dramatically improve कर सकते हैं, लेकिन वे malicious intent वालों के लिए भी equally accessible हैं।