Onderzoekers van Wiz Research hebben een kritieke kwetsbaarheid ontdekt in GitHub waarmee volledige lees- en schrijftoegang tot private repositories verkregen kon worden. De bug raakte naar schatting de codebases van miljoenen organisaties wereldwijd. Opvallend: met behulp van AI ging het team binnen 48 uur van idee naar werkende exploit — een tijdlijn die voorheen maanden zou hebben gevergd.
Wiz Research heeft een ernstige kwetsbaarheid in GitHub ontdekt, gecatalogiseerd als CVE-2026-3854. Het betreft een remote code execution-bug die met één enkel commando volledige lees- en schrijftoegang kon verlenen tot privé-repositories op GitHub.com. Volgens Wiz Research had misbruik van dit lek de broncode van vrijwel alle grote ondernemingen ter wereld bloot kunnen leggen. Het bedrijf bestempelt dit als een van de ernstigste SaaS-kwetsbaarheden die ooit is aangetroffen. GitHub Enterprise Server is eveneens getroffen en vereist een directe upgrade.
Van idee naar exploit in twee dagen
Wat dit geval bijzonder maakt, is de snelheid waarmee de kwetsbaarheid werd gevonden. Wiz Research had de interne binaire bestanden van GitHub al bijna twee jaar op de radar, maar het reverse-engineeringwerk was te arbeidsintensief om prioriteit aan te geven. Door AI in te zetten — specifiek Claude Code — ging het team binnen 48 uur van eerste idee naar een werkende exploit.
Zonder AI had ditzelfde traject maanden van handmatige analyse en specialistische expertise gevergd, stelt Wiz Research. Het bedrijf geeft aan dat dit een nieuw tijdperk inluidt waarin duizenden verborgen kwetsbaarheden in gesloten systemen binnen zeer korte tijd blootgelegd kunnen worden met behulp van kant-en-klare AI-tools. Software die voorheen beschermd werd door haar eigen complexiteit is daarmee veel toegankelijker geworden voor analyse — zowel voor verdedigers als voor kwaadwillenden.
Responsible disclosure en bug bounty
Wiz Research volgde een responsible disclosure-procedure en werkte nauw samen met GitHub gedurende het hele proces. Alexis Wales, CISO van GitHub, liet weten de samenwerking en het vakmanschap van de onderzoekers zeer te waarderen. Wales gaf aan dat een bevinding van dit kaliber zeldzaam is en een van de hoogste uitbetalingen oplevert binnen het bug bounty-programma van GitHub. De CISO benadrukte bovendien dat nauwe samenwerkingen met gespecialiseerde onderzoekers steeds belangrijker worden naarmate het dreigingslandschap zich verder ontwikkelt.
Implicaties voor de beveiligingspraktijk
De casus illustreert dat AI het speelveld rondom kwetsbaarheidsonderzoek ingrijpend verandert. Wiz Research verwacht dat de drempel voor het ontdekken van kwetsbaarheden in gesloten en complexe systemen significant daalt — wat betekent dat ook minder geavanceerde aanvallers eerder toegang kunnen krijgen tot dit soort technieken. Voor organisaties die gebruikmaken van GitHub Enterprise Server geldt dat een onmiddellijke upgrade naar een gepatchte versie noodzakelijk is.
