苹果Anthropic成功发现了操作系统中的漏洞组合,并在五天内构建出一套可绕过苹果安全技术的攻击代码——这一突破,正将全球AI安全威胁的讨论推向新的高度。
华尔街日报14日报道,总部位于帕洛阿尔托的安全研究公司Calif的研究人员,在今年4月测试Mythos早期版本期间,发现了MacOS中的两个漏洞,并将其与多种技术手段串联,实现了对Mac内存的破坏,进而获取了本应无法访问的系统权限。这是一种“权限提升漏洞利用”,若与其他攻击手段链式组合,可被用于完全控制目标。苹果公司表示正在审查Calif提交的报告,并称“安全是我们的首要任务”。
此次发生的背景,是全球层和精英对Mythos能力的高度警惕。点名Mythos可能引发"宏观冲击";英国央行行长贝利感叹"上辈子到底做错了什么";欧洲央行行长拉加德警告一旦落入错误之手"后果将不堪设想"。与此同时,正考虑出台令,
苹果的MacOS长期被视为全球最难攻破的操作系统之一。去年9月,苹果推出名为"内存完整执行"(Memory Integrity Enforcement,MIE)的安全技术,称其是"历时五年、前所未有的设计与工程努力的集大成之作"。
然而,Calif的研究人员借助Mythos,仅用五天便完成了利用两个MacOS漏洞的攻击代码构建。Mac内存并获取受保护的系统权限。库比蒂诺的总部,当面递交了一份长达55页的漏洞报告。
不过,Calif首席执行官Thai Duong强调,此次攻击并非Mythos单完成,而是充分依赖了公司安全研究人员的专业经验。他指出,Mythos擅长复现已有文档记录的攻击手法,"我们尚未见到它自主提出全新攻击技术的案例,这(次突破)在某种程度上是新鲜事物。"曾任职的安全研究员Michał Zalewski在审阅Calif报告后表示,尽管围绕Mythos的部分炒作"言过其实",但最新AI工具确实可用于"有实质意义的漏洞研究和代码审计"。
Duong预计,苹果将很快修复上述漏洞,Calif计划在苹果完成补丁后公开攻击细节。
漏洞窗口期
此次MacOS漏洞,据彭观点专栏作家Parmy Olson指出,从软件漏洞公开披露到可用攻击工具出现,这一窗口期已从2018年的平均771天骤降至如今不足4小时。
今年早些时候,Anthropic的AI在两周内发现了Firefox浏览器逾100个高危漏洞,而全球其他渠道通常需要两个月才能发现同等数量。在5月7日的客文章中直接点名Mythos,称其已发现"每个主流操作系统和浏览器中的漏洞",可能引发系统层面的“相关失败”。
AI的自动化攻击能力,使沿用数十年的"负责任披露"机制面临严峻挑战。彭观点指出,Mythos真正的威胁并非主要指向拥有IT安全体系的大型,而是对医院、中小企业和小型零售商等防御薄弱环节发出的紧急警示——这些机构既是历来惯常瞄准的目标,也普遍缺乏快速响应所需的资源。
Mythos引发的震动已蔓延至全球层。美国财政部长贝森特4月召集华尔街高管评估系统防御准备,财政部目前正寻求直接获取Mythos访问权限。Bessent表示,"我有信心,所有人现在都已达成共识,正朝着同一方向努力,共同构建抗风险能力。"
欧洲央行行长拉加德警告,一旦该技术落入错误之手,"后果将不堪设想"。英国央行行长贝利则坦言,面对Mythos带来的未知威胁,层对其了解仍然有限,难以判断其究竟在已知安全风险上实现了多大跨越。
亚马逊、摩根尚未获得访问权限,由此引发外界对全球体系保护水平参差不齐的担忧。率先获准评估Mythos的英国AI安全研究院认定,
与此同时,白宫此前曾反对Anthropic逐步扩大Mythos访问权限,联邦目前正考虑出台令,
,
全部评论