位於帕羅奧圖的資安公司 Calif 研究人員,運用源自 Anthropic 秘密開發的早期版 Mythos AI 技術,發現了 macOS 系統中兩個從未被記錄的漏洞。這兩個漏洞被串聯成一條權限提升攻擊鏈,能繞過蘋果最先進的記憶體完整性保護機制,讀取本應完全禁用的系統記憶體區域。
\n\n蘋果公司正在審核 Calif 提交的長達 55 頁技術報告,預計驗證後將釋出修補程式。
\n\n漏洞攻擊鏈技術細節
\n\n這組漏洞組合於四月份測試時發現,結合兩個 macOS 漏洞與多項進階技術,破壞 Mac 記憶體,最終突破一般處理程序無法觸及的受限系統區域。據《華爾街日報》報導,若將此權限提升漏洞與其他攻擊手法結合,攻擊者可完全掌控目標 Mac 裝置。
\n\nCalif 研究人員撰寫了客製化軟體,將兩個漏洞串聯,形成 macOS 系統前所未見的新型攻擊向量。值得注意的是,這並非可遠端傳播的蠕蟲病毒。攻擊仍需在 Mythos 生成的內容基礎上,疊加大量人工專業知識。Calif 執行長 Thai Dong 坦言:「單靠 Mythos 無法完成攻擊,還需借助 Calif 資安專家的人工判斷能力。」
\n\nMythos AI 的特殊定位
\n\n因其識別軟體漏洞的卓越能力可能帶來潛在風險,Anthropic 的 Mythos(前稱 Claude Mythos Preview)被刻意限制公開。該模型是 Anthropic「玻璃之翼」計畫的組成部分,目前僅向蘋果、Google、微軟等約 40 家指定機構開放,用於防禦性安全研究。Anthropic 已承諾投入 1 億美元使用額度,以支持該合作計畫。
\n\n在發現 macOS 漏洞之前,Mythos 曾成功找出 OpenBSD 中潛伏 27 年的漏洞,並識別出可劫持 Linux 裝置的漏洞。Anthropic 工程師明確警告,該模型挖掘安全缺陷的能力過於強大,必須設置嚴格防護措施才能使用。
\n\n漏洞揭露流程
\n\nCalif 研究人員對此次發現極具信心,專程前往蘋果庫比蒂諾總部當面提交技術報告。蘋果發言人向《華爾街日報》表示:「安全是我們的首要任務,我們非常重視潛在漏洞報告。」雖然蘋果尚未確認是否已開始修復漏洞,但 Calif 執行長預計「漏洞可能會很快得到修復」。在蘋果解決根本問題之前,Calif 不會公開完整技術細節。
\n\n參考來源:
Anthropic\'s Mythos AI Reportedly Found macOS Vulnerabilities that Could Bypass Apple Security
https://cybersecuritynews.com/anthropics-mythos-macos-vulnerabilities/
\n\n