Four cybersecurity researchers collaborating and analyzing an AI security breach on computer screens

苹果安全防线向来难以攻破,Mythos却帮助找到了突破口

安全研究人员表示,他们发现了一种绕过苹果公司最先进安全技术的新方法,所用技术是他们在4月份测试Anthropic的Mythos AI软件早期版本时发现的。

这些研究人员来自总部位于帕罗奥图的安全研究公司 Calif。他们表示,自己编写的软件将两个漏洞和一些技术结合起来,破坏了 Mac 的内存,进而获取了该设备本应无法访问的部分的访问权限。这就是所谓的权限提升漏洞利用。如果与其他攻击手段结合起来,黑客就可以利用它来夺取对电脑的控制权。

曾在谷歌(Google)工作过的安全研究员米哈·扎莱夫斯基(Micha Zalewski)表示,这项技术值得注意,因为苹果公司在加强 MacOS 安全性方面投入了大量精力。扎莱夫斯基评估了 Calif 的研究,但他本人并未参与测试。

苹果公司目前正在部署和测试前沿人工智能(AI)模型,以排查和修补漏洞;该公司正在评估 Calif 的报告以验证其发现。苹果公司的一名发言人表示:“安全是我们的首要任务,我们非常重视有关潜在漏洞的报告。”

近几个月来,Anthropic 和 OpenAI 等公司最新 AI 模型的漏洞发现能力大幅提升,以至于许多网络安全专家现在警告可能会出现“漏洞末日”(Bugmageddon)。这指的是安全漏洞的发现量将出现前所未有的激增,不仅会让疲于修补漏洞的技术人员头疼不已,也构成了一种前所未有的网络安全风险。今年早些时候,Anthropic 的 AI 仅用两周时间,就在 Firefox 浏览器中找出了 100 多个高危漏洞。而通常情况下,全世界其他机构需要两个月才能发现这么多漏洞。

去年 9 月,苹果公司表示,已利用其在硬件和操作系统领域的专业知识,开发了一项名为内存完整性强制执行(Memory Integrity Enforcement,简称 MIE)的技术。苹果公司称,该技术是“历时五年、前所未有的设计与工程努力的结晶”。Calif 表示,借助 Claude,编写出利用这两个 MacOS 漏洞的代码只花了五天。

Calif 首席执行官 Thai Duong 表示,这次攻击不可能单靠 Mythos 完成,期间也借助了 Calif 旗下黑客在网络安全领域的人类专业知识。这是因为 Mythos 擅长重现以往记录在案的攻击手法。他说:“我们还没见过它能凭空想出全新攻击技术的案例,这算是一件新鲜事。”扎莱夫斯基表示,虽然围绕 Mythos 的一些烒作有些“夸大其词”,但使用最新工具进行“有意义的漏洞研究和代码审计”是可行的。

Calif 的研究人员对这一发现激动不已。周二,他们亲自从帕罗奥图驱车前往苹果公司位于库比蒂诺的总部,当面提交了一份长达 55 页的报告,详细阐述了此次利用的漏洞。他们计划在苹果公司修补了底层问题后,再对外公布此次攻击的详细信息。Duong 表示,这些漏洞可能很快就会得到修复。

白宫最初反对 Anthropic 逐步扩大 Mythos 使用权限的举措。如今,对新型 AI 模型强大能力的担忧已经打乱了本届政府的 AI 战略,促使其重新评估对 AI 发展采取的自由放任态度。联邦官员目前正考虑出台一项行政命令,赋予政府对最先进 AI 模型的监管权。


Enjoyed this article? Sign up for our newsletter to receive regular insights and stay connected.

Leave a Reply