蘋果在 M5 晶片裡埋了一道硬體級安全防線,花了五年,砸了數十億美元。安全研究公司 Calif 用 Anthropic 的 Claude Mythos Preview,5 天就把它打穿了。
這並非實驗室模擬。是在一台真實的 M5 Mac 上,從普通使用者一路打到 root 權限,所有的安全機制全程都是開著的。
然後,他們把 55 頁報告列印了出來,親自飛到庫比蒂諾,當面交給了蘋果。
01. 超強 MIE 防線
被攻破的這道防線叫 MIE(Memory Integrity Enforcement)。
它是蘋果基於 ARM 記憶體標籤擴展(MTE)建構的硬體級記憶體安全系統,M5 和 A19 晶片的旗艦安全特性。
設計目標是:徹底消滅記憶體損壞類漏洞。
說起記憶體損壞(memory corruption),這是 iOS 和 macOS 上最常見、也最致命的漏洞類別了。過去十幾年最複雜的 iOS 攻擊鏈,幾乎都依賴這類漏洞。
蘋果的思路是,既然軟體層防不住,那就把防線推到硬體層。畢竟蘋果控制著從晶片到作業系統的整條鏈路,這個能力自己能做,別家學不來。
按蘋果自己發表的研究,MIE 能打斷所有已知的、針對現代 iOS 的公開攻擊鏈,包括最近洩露的 Coruna 和 Darksword 漏洞利用工具包。
不少安全專家認為,蘋果裝置已經是消費級產品中安全性最高的平台了。
而 MIE,算是這頂皇冠上的寶石。
02. 5 天破防
Calif 的時間線如下:
4 月 25 日,Bruce Dang 發現了漏洞。
4 月 27 日,安全研究員 Dion Blazakis 加入 Calif 團隊。
Josh Maine 負責開發工具鏈。
5 月 1 日,完整的漏洞利用鏈跑通了。
從發現到出貨,用時 5 天。而蘋果從設計 MIE 到 M5 量產,花了 5 年。
攻擊鏈的技術參數如下:
• 類型:data-only 核心本地提權(kernel local privilege escalation)
• 目標系統:macOS 26.4.1(build 25E253)
• 起點:非特權本地使用者
• 手段:僅使用普通系統呼叫
• 終點:root shell
• 涉及兩個漏洞,多種利用技術
• 裸機 M5 硬體,核心 MIE 處於開啟狀態
最後這一點是關鍵:MIE 全程開著。
那……它怎麼被繞過的呢?
答案藏在「data-only」這個詞裡。傳統的記憶體損壞攻擊,通常需要劫持程式碼指針(函數指針、返回地址等),讓程序跳轉到攻擊者注入的惡意程式碼。MIE 的設計,正是為了攔截這種劫持。
而 Calif 沒走這條路。他們沒去碰程式碼指針,也沒注入任何惡意程式碼,只動了核心中的資料結構。程序跑的還是原來的程式碼,但資料被「投毒」了,最終的效果則一樣:拿到 root。
打個比方以便更好理解,MIE 相當於給金庫裝了指紋鎖,任何試圖暴力開鎖的人都會被攔住。Calif 壓根沒碰那把鎖,而是改了金庫的庫存清單,讓系統「認為」他們本來就有進入權限。
MIE 守的是程式碼完整性,Calif 攻的是資料完整性,方向不同。
03. 攻擊現場
Calif 在部落格中放出了一段 PoC 演示。完整的 55 頁技術報告得等蘋果修復後才公開,但從這段演示裡,整條攻擊鏈的流程還是可以看個大概了。
首先是環境確認,左側終端執行了系統資訊檢查:
Apple M5 Max,運行 macOS 26.4.1,SIP(系統完整性保護)狀態:enabled。
所有的安全機制全部開啟,沒有作弊嫌疑。
接下來,執行漏洞利用指令碼 ./run-krwd.sh:
攻擊分了好幾個階段,Calif 給每個階段都起了代號:
wibble 階段是記憶體操作的核心。先是噴射了 8000 個記憶體對象(blob),然後從 1857 次運行中篩出 12 個候選目標。之後做了一系列探測(probe),通過匹配特定的 errno 返回值來精確定位目標記憶體區域,最終鎖定了一對配對的檔案描述符(fd=1782 和 fd=1627)。
spell 階段完成了關鍵的記憶體佈局準備,先 armed(就緒),再 verified(驗證通過)。
guard cleared,tunnel ready,安全檢查被清除,通訊通道準備完畢。
doodad 開始監聽連接,等待 shell 接入。
然後……請看右側終端:
右側終端在 4444 連接埠監聽著。exploit 執行完畢後,一個 shell 自動連了進來。
執行 id:
uid=0(root)
從普通使用者到系統最高權限,整條攻擊鏈全部跑通。
還有個彩蛋:
exploit 最後還注入了 macOS 的顯示服務(SkyLight 框架),直接在螢幕頂部畫了一條橫幅:
「greetz from calif <3」
也就是說,攻擊者不只是拿到了檔案系統等級的 root,還能直接作業系統的圖形渲染管線,往你的螢幕上寫字。
非常張揚。
04. 背後來頭
輔助 Calif 完成這次攻擊的 AI,是 Anthropic 尚未完全公開的模型:Claude Mythos Preview。
Mythos 是 Claude 家族中專門面向網路安全的版本,今年 4 月通過 Project Glasswing 向少數合作夥伴開放。Glasswing 項目由 Anthropic 的 Logan Graham 領導,他在 X 上解釋了為什麼要這麼做:
“ 我分享這些並不是為了給 Mythos 打廣告。這件事的重點其實不在 Mythos 本身,而在於:我們需要為一個即將到來的世界做好準備,在那個世界裡,模型在雙重用途能力上會比一些最優秀的人類專家更快、更便宜、更有創造力。
而 Mythos 能力強到什麼程度呢?Calif 在部落格裡的描述是:
“ Mythos Preview 一旦學會了如何攻擊某一類問題,就能泛化到該類別中幾乎所有問題。
即對於 AI 已經「見過」的漏洞模式,它能在新目標上快速復現。這次 Calif 發現的漏洞恰好屬於已知類別,所以 Mythos 發現它們的速度非常快。
但 MIE 是一種全新的頂級硬體防護機制,想讓 AI 完全自主地繞過它……目前還差點意思。這裡(暫時)還有人類專家的價值所在。
Calif 想驗證的命題是:當最強的 AI 模型與頂級安全專家聯手,能做到什麼?
這次給出的答卷是:一周內,攻破消費級裝置上最強的安全防線。
05. 兩份成績單
就在 Calif 公佈 exploit 的同一周,兩份獨立評測也被公佈,進一步證實了 Mythos 的能力。
英國 AI 安全研究所(UK AISI)對 Mythos Preview 做了端到端的網路攻擊模擬測試。結果發現 Mythos 是第一個同時通過兩套完整攻擊模擬的模型。
其中一套叫 Cooling Tower,此前沒有任何 AI 模型能通過。Mythos 在 10 次嘗試中成功了 3 次。
另一套叫 The Last Ones,Mythos 10 次中成功了 6 次。作為對比,OpenAI 的 GPT-5.5 後來也通過了 The Last Ones(10 次中 3 次),但始終沒能攻破 Cooling Tower。
UK AISI 還給出了一個更宏觀的判斷:前沿 AI 能完成的網路攻擊任務長度,大約每 4.7 個月翻一倍。
而且這個速度還在加快,最新一代模型的表現已經超出了此前的趨勢線。
XBOW(一家安全評測公司)則從攻防實戰角度測了 Mythos。他們的評價是:
“ token-for-token,精度空前。
具體來說,和 Opus 4.6 相比,Mythos 在原始碼審計中的誤報率降低了 42%,是唯一能在 V8 引擎沙箱這種高難度目標上找到真實漏洞的模型。
Logan Graham 還提到,Glasswing 的合作夥伴在短短幾周的測試中,已經用 Mythos 發現了數千個高危和嚴重等級的漏洞,有些機構的產出量達到了正常一年的兩倍。
但 Logan 也說了句讓人不太安心的話:
“ 一年之內,Mythos 可能看起來就很蠢了(相對於其他新模型而言)。而且其他機構可能會發佈能力相當、但沒有防護措施的開源模型。
06. 親赴蘋果
Calif 沒有走常規的漏洞提交管道,選擇了一種相當高調的方式。
他們在部落格裡說:
“ 大多數受人尊敬的駭客,都儘可能迴避人際交往。所以親自到場這種「物理策略」,或許能讓我們在爭奪五分鐘 X 名氣的競賽中,佔據一點優勢。
於是他們把 55 頁報告用雷射印表機打了出來,Calif 說這是「致敬我們的駭客朋友們」。然後飛到了庫比蒂諾。
Apple Park 的東道主在聊天時提到蘋果花了 50 億美元建這座「辦公樓」,順口問了句 Calif 的辦公室花了多少。
Calif 的回答:
“ 我們的,肯定不到 10 億。
部落格結尾引了一句越南諺語:nhỏ mà có võ,意思是「個頭小,功夫深」。
這也算是 AI 時代的未來縮影:三個人加一個 AI,突然之間,就能做到了過去需要整個組織耗資巨大才能做到的事。
07. 矛更快了
在部落格最後,Calif 寫了一段話:
“ 蘋果在 Mythos Preview 出現之前的世界裡建構了 MIE。我們即將見證,地球上最好的安全防護技術,在第一次 AI 漏洞大爆發中如何表現。
MIE 的設計者其實心裡清楚,它從來不是「不可攻破」的。它的目標是讓漏洞利用變得極其昂貴,昂貴到絕大多數攻擊者無法承受。
過去,一個 iOS/macOS 核心級的完整攻擊鏈,在零日漏洞市場上的標價通常在數百萬甚至上千萬美元。
而 AI 的介入,正在把這個門檻迅速往下壓。
UK AISI 的資料裡說道,AI 網路攻擊能力每 4.7 個月翻倍,而且,還在加速。
安全領域的矛盾攻防已經持續了幾十年,蘋果造了迄今為止最硬的盾。
但矛……突然快了一個數量級。
目前 55 頁報告目前已經交到了蘋果手裡,而補丁發佈之前,技術細節暫不會公開。
但我怎麼有種不祥的預感:AI 正在讓這個世界,變得越來越危險…… (AGI Hunt)