Badacz bezpieczeństwa wykorzystał AI Claude do odkrycia luki w Front Gate Tickets, pozwalającej na bezpłatne wystawianie biletów VIP za tysiące dolarów.

Źródło zdjęcia: WIRED
Badacz bezpieczeństwa Ian Carroll wykorzystał sztuczną inteligencję Claude Opus do odkrycia krytycznej luki w systemie Front Gate Tickets, która obsługuje sprzedaż biletów na niemal wszystkie główne amerykańskie festiwale muzyczne. Dzięki pomocy AI udało mu się uzyskać pełny dostęp administratora do platformy, co teoretycznie pozwoliło na bezpłatne wystawianie biletów VIP o dowolnej wartości. Szczegóły tego odkrycia opisuje magazyn WIRED.
Carroll, który prowadzi startup Seats.aero i zajmuje się niezależnymi badaniami bezpieczeństwa, natrafił na Front Gate przypadkowo podczas rozważania uczestnictwa w festiwalu Electronic Daisy Carnival w Las Vegas. Zauważył, że ta sama firma obsługuje ticketing praktycznie dla wszystkich głównych amerykańskich festiwali muzycznych poza Coachellą.
Podczas testowania domeny Front Gate szybko znalazł potencjalną lukę typu SQL injection — popularną podatność pozwalającą na wprowadzanie komend do pól tekstowych na stronie internetowej. Problem polegał na tym, że zapora aplikacji webowej blokowała jego próby wykorzystania tej luki.
To właśnie wtedy Carroll zwrócił się o pomoc do Claude Opus 4.7. AI natychmiast wygenerowało kod hakujący, który omijał zaporę. „To był pierwszy raz, kiedy naprawdę miałem podatność, której w pełni nie rozumiałem” — wyjaśnia Carroll. „Musiałem wrócić i przeczytać to, co napisał Claude, żeby zrozumieć sposób obejścia.”
Po uzyskaniu dostępu administratora Carroll mógł teoretycznie wystawiać sobie bilety na dowolne wydarzenie bez ograniczeń. „Było całkiem fajnie zobaczyć bilet za 4000 dolarów i móc po prostu nacisnąć przycisk i wystawić sobie tyle, ile chciałem” — mówi badacz. Nie skorzystał jednak z tej możliwości i zgłosił lukę do Front Gate.
Firma odpowiedziała oświadczeniem dziękującym Carroll za zgłoszenie i opisującym incident jako udaną współpracę, która doprowadziła do poprawy bezpieczeństwa. Front Gate zapewnia, że nie ma dowodów na wykorzystanie luki, wpływ na bilety czy narażenie danych klientów.
Anthropic z kolei podkreśla, że program Cyber Verification Program został stworzony właśnie po to, aby udostępnić zaawansowane możliwości bezpieczeństwa obrońcom. Gdyby Carroll nie był uczestnikiem programu, jego użycie Claude do włamania zostałoby wykryte i zablokowane.
Ten przypadek pokazuje, jak sztuczna inteligencja może znacząco rozszerzyć możliwości wykrywania luk bezpieczeństwa w infrastrukturze internetowej, co ma zarówno pozytywne, jak i potencjalnie niebezpieczne implikacje dla cyberbezpieczeństwa.

Bhavin Turakhia inwestuje własne środki w Neo — platformę enterprise zbudowaną od podstaw z myślą o AI, łączącą zarządzanie projektami z dokumentami.

OpenAI rozważa przekazanie rządowi 5% udziałów wart 42,6 mld dolarów, aby złagodzić napięcia z administracją Trumpa i uniknąć restrykcyjnych regulacji AI.

Simon Willison wykorzystał Claude Fable do przygotowania stabilnej wersji biblioteki sqlite-utils 4.0, wydając 149 dolarów i znajdując krytyczne błędy.