安全研究人员表示,他们发现了一种绕过苹果公司最先进安全技术的新方法,所用技术是他们在4月份测试Anthropic的Mythos AI软件早期版本时发现的。
这些研究人员来自总部位于帕罗奥图的安全研究公司 Calif。他们表示,自己编写的软件将两个漏洞和一些技术结合起来,破坏了 Mac 的内存,进而获取了该设备本应无法访问的部分的访问权限。这就是所谓的权限提升漏洞利用。如果与其他攻击手段结合起来,黑客就可以利用它来夺取对电脑的控制权。
曾在谷歌(Google)工作过的安全研究员米哈·扎莱夫斯基(Micha Zalewski)表示,这项技术值得注意,因为苹果公司在加强 MacOS 安全性方面投入了大量精力。扎莱夫斯基评估了 Calif 的研究,但他本人并未参与测试。
苹果公司目前正在部署和测试前沿人工智能(AI)模型,以排查和修补漏洞;该公司正在评估 Calif 的报告以验证其发现。苹果公司的一名发言人表示:“安全是我们的首要任务,我们非常重视有关潜在漏洞的报告。”
近几个月来,Anthropic 和 OpenAI 等公司最新 AI 模型的漏洞发现能力大幅提升,以至于许多网络安全专家现在警告可能会出现“漏洞末日”(Bugmageddon)。这指的是安全漏洞的发现量将出现前所未有的激增,不仅会让疲于修补漏洞的技术人员头疼不已,也构成了一种前所未有的网络安全风险。今年早些时候,Anthropic 的 AI 仅用两周时间,就在 Firefox 浏览器中找出了 100 多个高危漏洞。而通常情况下,全世界其他机构需要两个月才能发现这么多漏洞。
去年 9 月,苹果公司表示,已利用其在硬件和操作系统领域的专业知识,开发了一项名为内存完整性强制执行(Memory Integrity Enforcement,简称 MIE)的技术。苹果公司称,该技术是“历时五年、前所未有的设计与工程努力的结晶”。Calif 表示,借助 Claude,编写出利用这两个 MacOS 漏洞的代码只花了五天。
Calif 首席执行官 Thai Duong 表示,这次攻击不可能单靠 Mythos 完成,期间也借助了 Calif 旗下黑客在网络安全领域的人类专业知识。这是因为 Mythos 擅长重现以往记录在案的攻击手法。他说:“我们还没见过它能凭空想出全新攻击技术的案例,这算是一件新鲜事。”扎莱夫斯基表示,虽然围绕 Mythos 的一些烒作有些“夸大其词”,但使用最新工具进行“有意义的漏洞研究和代码审计”是可行的。
Calif 的研究人员对这一发现激动不已。周二,他们亲自从帕罗奥图驱车前往苹果公司位于库比蒂诺的总部,当面提交了一份长达 55 页的报告,详细阐述了此次利用的漏洞。他们计划在苹果公司修补了底层问题后,再对外公布此次攻击的详细信息。Duong 表示,这些漏洞可能很快就会得到修复。
白宫最初反对 Anthropic 逐步扩大 Mythos 使用权限的举措。如今,对新型 AI 模型强大能力的担忧已经打乱了本届政府的 AI 战略,促使其重新评估对 AI 发展采取的自由放任态度。联邦官员目前正考虑出台一项行政命令,赋予政府对最先进 AI 模型的监管权。
Enjoyed this article? Sign up for our newsletter to receive regular insights and stay connected.

