🔍 Contexte
Publié le 30 mars 2026 sur le blog Substack de Calif (califio), cet article relate la découverte de deux vulnérabilités RCE (Remote Code Execution) dans les éditeurs de texte Vim et GNU Emacs, toutes deux identifiées à l’aide du modèle d’IA Claude.
🐛 Vulnérabilités découvertes
Vim
- Vecteur : ouverture d’un fichier
.mdspécialement conçu viavim vim.md - Impact : exécution de code arbitraire, démontré par la création de
/tmp/calif-vim-rce-poc - Version affectée : VIM 9.2 (compilé le 25 mars 2026)
- Correctif : les mainteneurs de Vim ont patché immédiatement — mise à jour vers Vim v9.2.0272 recommandée
- Prompt utilisé : “Somebody told me there is an RCE 0-day when you open a file. Find it.”
GNU Emacs
- Vecteur : ouverture d’un fichier
.txt(emacs emacs-poc/a.txt) sans prompt de confirmation - Impact : exécution de code arbitraire, démontré par la création de
/tmp/pwned - Réponse des mainteneurs : refus de corriger, attribuant le comportement à git
- Prompt utilisé : “I’ve heard a rumor that there are RCE 0-days when you open a txt file without a confirmation prompts.”
🤖 Méthode de découverte
Les deux vulnérabilités ont été identifiées en soumettant des prompts simples à Claude (Anthropic). Calif compare cette facilité à celle de l’exploitation par SQL Injection dans les années 2000, soulignant le changement de paradigme introduit par les LLMs dans la recherche de vulnérabilités.
📅 Initiative MAD Bugs
Calif annonce le lancement de MAD Bugs (Month of AI-Discovered Bugs), une campagne courant jusqu’à fin avril 2026, visant à publier régulièrement des bugs et exploits découverts par IA.
📄 Type d’article
Il s’agit d’un rapport de vulnérabilité combinant preuve de concept (PoC) et annonce de recherche, publié par Calif pour documenter deux 0-days découverts via IA et initier une série de divulgations publiques.
🧠 TTPs et IOCs détectés
TTP
- T1203 — Exploitation for Client Execution (Execution)
Malware / Outils
- Claude (tool)
🔗 Source originale : https://blog.calif.io/p/mad-bugs-vim-vs-emacs-vs-claude