שון הילאן השתמש ב-OpenAI o3 כדי לחשוף את CVE-2025-37899

חוקר האבטחה שון הילן גילה פגיעות קריטית מסוג zero-day, CVE-2025-37899, במימוש SMB (ksmbd) של ליבת לינוקס באמצעות מודל o3 של OpenAI.

פגיעות זו מסוג "use-after-free" מתרחשת במהלך טיפול בפקודת 'logoff' של SMB, והיא עלולה לאפשר לתוקף מרוחק לבצע קוד עם גישה ברמת הליבה - איום רציני בכל מערכת.

הפגיעות תוקנה כעת, אך האופן שבו התגלתה הוא סימן לאן פניה של אבטחת הסייבר.

מה שאומר שון הילאן

שון הילן השתמש במודל o3 לבדו, ללא כלים נוספים - ללא סורקים, ללא תוכנות ערמומיות, ללא הרחבות IDE.

הוא פשוט הזין o3 חלקים מבסיס הקוד של ksmbd וביקש ממנו לעזור לו לבצע ביקורת על הלוגיקה.
המודל בחן היגיון לגבי מקביליות, אינטראקציות בין הליכים ושיתוף אובייקטים, וסימן דפוס מסוכן ששון אישר כנקודת תורפה אמיתית.

זה לא היה עניין של כתיבת קוד של בינה מלאכותית - זה היה עניין של חשיבה של בינה מלאכותית לעומק.

מה זה אומר (במילים אנושיות)

מודל o3 של OpenAI לא שימש לצ'אט, כתיבה או יצירת טקסט.
הוא שימש לניתוח קוד ייצור אמיתי - והוא מצא פרצת אבטחה שאף אחד עדיין לא שם לב אליה.

כך נראית אבטחה בסיוע בינה מלאכותית כעת:
לא מחליפים חוקרים, אלא מעמיקים את אופן עבודתם, מזהים דפוסים מסוכנים מהר יותר ועוזרים להגן על תשתיות קריטיות.

מי זה שון הילאן?

שון הילאן הוא קול מוביל בתחום שבו מחקר אבטחה פוגש היגיון של בינה מלאכותית.
הוא בעל תואר דוקטור מאוקספורד המתמקד בזיהוי נזקי זיכרון, והוא הקדיש שנים לפיתוח כלים ושיטות לחשיפת באגים במערכות מורכבות.

הוא לא רק טוב בשימוש בבינה מלאכותית - הוא טוב בלגרום לבינה מלאכותית לחשוב איתו.

פגיעות זו לא הייתה מזל.
זו הייתה תוצאה של הנחיה חכמה, ידע מקצועי והבנה של כיצד לשתף פעולה עם בינה מלאכותית כדי להעמיק.

שורה תחתונה

• פְּגִיעוּת:
  CVE-2025-37899

• מה מושפע:
  מודול ksmbd של ליבת לינוקס (מימוש SMB)
  סוג פגיעות:
  שימוש לאחר שחרור במהלך טיפול ב'התנתקות' של SMB

• התגלה על ידי:
  שון הילאן, באמצעות מודל o3 של OpenAI

• האם יש תיקון?
  ✅ כן - שוחררו טלאים

• האם יש דיווחים על השפעה על העולם האמיתי?
  🚫 לא - כרגע אין דיווחים מאומתים על מישהו שנפגע בטבע

• הפניות:
  → פוסט מקורי בבלוג
  → רישום NVD
  
  

פרספקטיבה של צוות האור הקפוא

כך מטפלים כיום באבטחת סייבר.
וככה גם מתרחשות התקפות.
כן - בינה מלאכותית יושבת משני הצדדים.

הדבר היחיד שמפריד ביניהם?
👉 האנשים שמנהלים אותם.
👉 ומה הם נשלחים לעשות.

זו הסיבה שהיום, אנחנו בוחרים להאיר זרקור על מישהו כמו שון הילן - מישהו שיושב בבירור בצד הטוב.

החלטנו להשוויץ למוחות הגדולים שמשתמשים בבינה מלאכותית מהסיבות הנכונות.
כי כן - אנחנו בוחרים צד.
ולא - אנחנו לא מפחדים להגיד את זה 😉 קריצה קריצה.

האמת היא, ככל שהעולם שלנו, היומיום שלנו והעבודה שלנו מתמלאים בשורות קוד,
ככל שהסכנה גדולה יותר,
ככל שהאיום גדול יותר,
והשפעתו יכולה להיות גדולה יותר על כולנו.

ובכנות?
טוב לדעת שאנשים כמו שון יושבים בפינה שלנו.

אז אנחנו שולחים לך תודה של "לשבור את הקרח", שון -
כדי להפוך את העולם למקום בטוח יותר,
פגיעות אחת בכל פעם.