蘋果在 M5 晶片裡埋了一道硬體級安全防線,花了五年,砸了數十億美元。安全研究公
司 Calif 用 Anthropic 的 Claude Mythos Preview,5 天就把它打穿了。
M5 晶片
這並非實驗室模擬。是在一台真實的 M5 Mac 上,從普通使用者一路打到 root 權限,所
有的安全機制全程都是開著的。
然後,他們把 55 頁報告列印了出來,親自飛到庫比蒂諾,當面交給了蘋果。
01. 超強 MIE 防線
被攻破的這道防線叫 MIE(Memory Integrity Enforcement)。
它是蘋果基於 ARM 記憶體標籤擴展(MTE)建構的硬體級記憶體安全系統,M5 和 A19 晶
片的旗艦安全特性。
設計目標是:徹底消滅記憶體損壞類漏洞。
說起記憶體損壞(memory corruption),這是 iOS 和 macOS 上最常見、也最致命的漏
洞類別了。過去十幾年最複雜的 iOS 攻擊鏈,幾乎都依賴這類漏洞。
蘋果的思路是,既然軟體層防不住,那就把防線推到硬體層。畢竟蘋果控制著從晶片到作
業系統的整條鏈路,這個能力自己能做,別家學不來。
深入瞭解
軟體
電子元件
機器學習與人工智慧
按蘋果自己發表的研究,MIE 能打斷所有已知的、針對現代 iOS 的公開攻擊鏈,包括最
近洩露的 Coruna 和 Darksword 漏洞利用工具包。
不少安全專家認為,蘋果裝置已經是消費級產品中安全性最高的平台了。
而 MIE,算是這頂皇冠上的寶石。
02. 5 天破防
Calif 的時間線如下:
4 月 25 日,Bruce Dang 發現了漏洞。
4 月 27 日,安全研究員 Dion Blazakis 加入 Calif 團隊。
Josh Maine 負責開發工具鏈。
5 月 1 日,完整的漏洞利用鏈跑通了。
從發現到出貨,用時 5 天。而蘋果從設計 MIE 到 M5 量產,花了 5 年。
攻擊鏈的技術參數如下:
‧ 類型:data-only 核心本地提權(kernel local privilege escalation)
‧ 目標系統:macOS 26.4.1(build 25E253)
‧ 起點:非特權本地使用者
‧ 手段:僅使用普通系統呼叫
‧ 終點:root shell
‧ 涉及兩個漏洞,多種利用技術
‧ 裸機 M5 硬體,核心 MIE 處於開啟狀態
最後這一點是關鍵:MIE 全程開著。
那……它怎麼被繞過的呢?
答案藏在「data-only」這個詞裡。傳統的記憶體損壞攻擊,通常需要劫持程式碼指針(
函數指針、返回地址等),讓程序跳轉到攻擊者注入的惡意程式碼。MIE 的設計,正是為
了攔截這種劫持。
而 Calif 沒走這條路。他們沒去碰程式碼指針,也沒注入任何惡意程式碼,只動了核心
中的資料結構。程序跑的還是原來的程式碼,但資料被「投毒」了,最終的效果則一樣:
拿到 root。
深入瞭解
駭客及破解
晶片
Mac
打個比方以便更好理解,MIE 相當於給金庫裝了指紋鎖,任何試圖暴力開鎖的人都會被攔
住。Calif 壓根沒碰那把鎖,而是改了金庫的庫存清單,讓系統「認為」他們本來就有進
入權限。
MIE 守程式碼,Calif 攻資料
MIE 守的是程式碼完整性,Calif 攻的是資料完整性,方向不同。
03. 攻擊現場
Calif 在部落格中放出了一段 PoC 演示。完整的 55 頁技術報告得等蘋果修復後才公開
,但從這段演示裡,整條攻擊鏈的流程還是可以看個大概了。
首先是環境確認,左側終端執行了系統資訊檢查:
環境:M5 Max,macOS 26.4.1
Apple M5 Max,運行 macOS 26.4.1,SIP(系統完整性保護)狀態:enabled。
所有的安全機制全部開啟,沒有作弊嫌疑。
接下來,執行漏洞利用指令碼 ./run-krwd.sh:
漏洞利用執行過程
攻擊分了好幾個階段,Calif 給每個階段都起了代號:
wibble 階段是記憶體操作的核心。先是噴射了 8000 個記憶體對象(blob),然後從
1857 次運行中篩出 12 個候選目標。之後做了一系列探測(probe),通過匹配特定的
errno 返回值來精確定位目標記憶體區域,最終鎖定了一對配對的檔案描述符(fd=1782
和 fd=1627)。
spell 階段完成了關鍵的記憶體佈局準備,先 armed(就緒),再 verified(驗證通過
)。
guard cleared,tunnel ready,安全檢查被清除,通訊通道準備完畢。
doodad 開始監聽連接,等待 shell 接入。
然後……請看右側終端:
Root Shell 到手
右側終端在 4444 連接埠監聽著。exploit 執行完畢後,一個 shell 自動連了進來。
執行 id:
uid=0(root)
從普通使用者到系統最高權限,整條攻擊鏈全部跑通。
還有個彩蛋:
注入螢幕橫幅
exploit 最後還注入了 macOS 的顯示服務(SkyLight 框架),直接在螢幕頂部畫了一條
橫幅:
「greetz from calif <3」
也就是說,攻擊者不只是拿到了檔案系統等級的 root,還能直接作業系統的圖形渲染管
線,往你的螢幕上寫字。
非常張揚。
04. 背後來頭
輔助 Calif 完成這次攻擊的 AI,是 Anthropic 尚未完全公開的模型:Claude Mythos
Preview。
Mythos 是 Claude 家族中專門面向網路安全的版本,今年 4 月通過 Project
Glasswing 向少數合作夥伴開放。Glasswing 項目由 Anthropic 的 Logan Graham 領導
,他在 X 上解釋了為什麼要這麼做:
“ 我分享這些並不是為了給 Mythos 打廣告。這件事的重點其實不在 Mythos 本身,而
在於:我們需要為一個即將到來的世界做好準備,在那個世界裡,模型在雙重用途能力上
會比一些最優秀的人類專家更快、更便宜、更有創造力。
而 Mythos 能力強到什麼程度呢?Calif 在部落格裡的描述是:
“ Mythos Preview 一旦學會了如何攻擊某一類問題,就能泛化到該類別中幾乎所有問題
。
即對於 AI 已經「見過」的漏洞模式,它能在新目標上快速復現。這次 Calif 發現的漏
洞恰好屬於已知類別,所以 Mythos 發現它們的速度非常快。
但 MIE 是一種全新的頂級硬體防護機制,想讓 AI 完全自主地繞過它……目前還差點意
思。這裡(暫時)還有人類專家的價值所在。
Calif 想驗證的命題是:當最強的 AI 模型與頂級安全專家聯手,能做到什麼?
這次給出的答卷是:一周內,攻破消費級裝置上最強的安全防線。
05. 兩份成績單
就在 Calif 公佈 exploit 的同一周,兩份獨立評測也被公佈,進一步證實了 Mythos 的
能力。
英國 AI 安全研究所(UK AISI)對 Mythos Preview 做了端到端的網路攻擊模擬測試。
結果發現 Mythos 是第一個同時通過兩套完整攻擊模擬的模型。
深入瞭解
macOS
Mac 作業系統
機器人工學
其中一套叫 Cooling Tower,此前沒有任何 AI 模型能通過。Mythos 在 10 次嘗試中成
功了 3 次。
另一套叫 The Last Ones,Mythos 10 次中成功了 6 次。作為對比,OpenAI 的
GPT-5.5 後來也通過了 The Last Ones(10 次中 3 次),但始終沒能攻破 Cooling
Tower。
AI 網路攻擊能力評測
UK AISI 還給出了一個更宏觀的判斷:前沿 AI 能完成的網路攻擊任務長度,大約每
4.7 個月翻一倍。
而且這個速度還在加快,最新一代模型的表現已經超出了此前的趨勢線。
XBOW(一家安全評測公司)則從攻防實戰角度測了 Mythos。他們的評價是:
“ token-for-token,精度空前。
具體來說,和 Opus 4.6 相比,Mythos 在原始碼審計中的誤報率降低了 42%,是唯一能
在 V8 引擎沙箱這種高難度目標上找到真實漏洞的模型。
Logan Graham 還提到,Glasswing 的合作夥伴在短短幾周的測試中,已經用 Mythos 發
現了數千個高危和嚴重等級的漏洞,有些機構的產出量達到了正常一年的兩倍。
但 Logan 也說了句讓人不太安心的話:
“ 一年之內,Mythos 可能看起來就很蠢了(相對於其他新模型而言)。而且其他機構可
能會發佈能力相當、但沒有防護措施的開源模型。
06. 親赴蘋果
Calif 沒有走常規的漏洞提交管道,選擇了一種相當高調的方式。
他們在部落格裡說:
“ 大多數受人尊敬的駭客,都儘可能迴避人際交往。所以親自到場這種「物理策略」,
或許能讓我們在爭奪五分鐘 X 名氣的競賽中,佔據一點優勢。
於是他們把 55 頁報告用雷射印表機打了出來,Calif 說這是「致敬我們的駭客朋友們」
。然後飛到了庫比蒂諾。
研究員在 Apple Park
Apple Park 的東道主在聊天時提到蘋果花了 50 億美元建這座「辦公樓」,順口問了句
Calif 的辦公室花了多少。
Calif 的回答:
“ 我們的,肯定不到 10 億。
部落格結尾引了一句越南諺語:nhmà có võ,意思是「個頭小,功夫深」。
這也算是 AI 時代的未來縮影:三個人加一個 AI,突然之間,就能做到了過去需要整個
組織耗資巨大才能做到的事。
07. 矛更快了
在部落格最後,Calif 寫了一段話:
“ 蘋果在 Mythos Preview 出現之前的世界裡建構了 MIE。我們即將見證,地球上最好
的安全防護技術,在第一次 AI 漏洞大爆發中如何表現。
MIE 的設計者其實心裡清楚,它從來不是「不可攻破」的。它的目標是讓漏洞利用變得極
其昂貴,昂貴到絕大多數攻擊者無法承受。
過去,一個 iOS/macOS 核心級的完整攻擊鏈,在零日漏洞市場上的標價通常在數百萬甚
至上千萬美元。
而 AI 的介入,正在把這個門檻迅速往下壓。
UK AISI 的資料裡說道,AI 網路攻擊能力每 4.7 個月翻倍,而且,還在加速。
安全領域的矛盾攻防已經持續了幾十年,蘋果造了迄今為止最硬的盾。
但矛……突然快了一個數量級。
矛,突然快了一個數量級
目前 55 頁報告目前已經交到了蘋果手裡,而補丁發佈之前,技術細節暫不會公開。
但我怎麼有種不祥的預感:AI 正在讓這個世界,變得越來越危險…… (AGI Hunt)
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.231.88.166 (臺灣)
※ 文章網址: https://webptt.cc/bbs/Gossiping/M.1779155491.A.1BD.html
※ error405:轉錄至看板 AI_Art 05/19 10:44
推文 (125)
→
knives
天網是真的
114.38.19.67 05/19 09:52
推
Tosca
Claude遲早要轉型為軍火企業像洛克希德馬丁
203.75.79.40 05/19 09:52
推
xzcb2008
=.= 這個漏洞不知道價值多少
36.232.213.230 05/19 09:52
噓
gogobar
所有蘋果手機的數據都回傳到美國,幹你娘
220.133.218.212 05/19 09:53
→
Tosca
能打穿任何數位安全防護 根本核武等級好嗎
203.75.79.40 05/19 09:53
推
preisner
還好,我十年前就知道了
60.248.161.28 05/19 09:53
推
luciffar
燒了多少TOKEN?
223.138.132.141 05/19 09:54
→
castorhome
以後網攻也是拚AI的意思
125.227.180.73 05/19 09:55
→
a7788783
好。 看不懂
42.71.149.66 05/19 09:56
→
potionx
簡單說就是少數專家+AI就能打破最強防禦
118.166.82.64 05/19 09:57
→
potionx
未來防禦方一定要先用專家+AI掃過漏洞
118.166.82.64 05/19 09:57
→
potionx
確保不會有漏洞 才是真正安全...
118.166.82.64 05/19 09:58
推
gk1329
未來網路會國家化鴨
27.242.9.2 05/19 09:58
推
Tosca
能打穿蘋果 其實也能打穿很多國家政府機構
203.75.79.40 05/19 09:58
推
sellgd
台灣微軟譯 損毀
182.155.160.168 05/19 09:58
→
Tosca
所以這根本核武等級武器
203.75.79.40 05/19 09:58
→
gk1329
只有區網不互聯 看你怎摸破= =
27.242.9.2 05/19 09:58
→
Tosca
喔 區網不是問題喔 因為後門太多了
203.75.79.40 05/19 09:58
→
Tosca
美國當年就在印表機內埋後門了XDDDDD
203.75.79.40 05/19 09:59
→
Tosca
我記得靠這招打伊朗還是伊拉克 有點忘了
203.75.79.40 05/19 09:59
→
Tosca
除非像俄羅斯這種偏執狂 徹底數位獨立
203.75.79.40 05/19 09:59
→
gk1329
產品也自產就好鴨
27.242.9.2 05/19 10:00
→
Tosca
你有種連印表機滑鼠鍵盤都不要用美國的
203.75.79.40 05/19 10:00
→
gk1329
反正有AI 不用進出口惹
27.242.9.2 05/19 10:00
→
Tosca
是阿 所以俄國中國所有數位產品都自產阿
203.75.79.40 05/19 10:00
→
gk1329
現在世界不就往這方向走 關稅戰 製造業回
27.242.9.2 05/19 10:01
→
gk1329
美國
27.242.9.2 05/19 10:01
推
yoshilin
美國故意埋的後門啦
27.247.99.199 05/19 10:01
推
ashs92223
跟yo叔一樣,直接繞過去 0.0
101.8.90.177 05/19 10:01
→
yoshilin
不然怎麼監控你
27.247.99.199 05/19 10:01
→
gk1329
洨國就選邊站 歷史只是一再重演
27.242.9.2 05/19 10:01
推
sellgd
鍵鼠都中製 哪有美國製的?
182.155.160.168 05/19 10:02
→
gk1329
最後不知道會不會世界統一= =
27.242.9.2 05/19 10:02
推
orze04
這是有公布的
42.79.170.112 05/19 10:02
推
lpsobig
嘻嘻
27.52.75.9 05/19 10:03
推
GanKer
只希望盾的升級能快一點~不然等矛開始有
49.217.194.78 05/19 10:03
→
GanKer
自我意識,就糟了
49.217.194.78 05/19 10:03
推
Tosca
對耶 那中國在滑鼠埋後門給美國用怎麼辦QQ
203.75.79.40 05/19 10:04
推
Brioni
知道為什麼核武管理還要用實體3.5磁片跟物
223.137.75.129 05/19 10:04
→
Brioni
理斷網隔絕了吧
223.137.75.129 05/19 10:04
推
douge
有阿諾 大家很放心
140.112.175.204 05/19 10:08
→
DIVIS
大概只有全部推掉重來才有救了 反正ai很快
1.173.205.48 05/19 10:09
→
Forcast
找yoyo大師
114.25.182.81 05/19 10:10
→
PRME
這個東西一定拿去攻擊中國
111.125.132.52 05/19 10:10
→
gayst
要ipo 新聞越來越多ㄌ
111.242.41.238 05/19 10:11
推
andy199113
沒有賈伯斯 只有TimCook果然是爛蘋果
111.250.138.26 05/19 10:15
推
PRME
以後就AI神仙互打
111.125.132.52 05/19 10:15
推
abc0922001
連M5都能攻破
203.66.179.162 05/19 10:16
推
FERRE
應該以後會接受漏洞的存在
101.10.8.146 05/19 10:18
推
senma
說個笑話,蘋果安全無懈可擊
1.163.253.186 05/19 10:18
噓
astrofluket6
長達120小時也可以自吹自擂笑死
12.75.216.121 05/19 10:19
→
yunf
破壞比建設快
49.216.167.242 05/19 10:19
→
yunf
這其實很久了
49.216.167.242 05/19 10:20
推
adios881
我上次就是這樣說
136.23.50.73 05/19 10:21
→
yunf
https://tinyurl.com/2db3mbz5 早就預告
49.216.167.242 05/19 10:22
噓
csking811116
AI文
114.137.45.205 05/19 10:23
推
s881720
還不是抄yo叔繞過去
223.138.9.213 05/19 10:25
推
maria001
不要插電,改用紙本資料
111.83.76.188 05/19 10:26
噓
abeliangroup
這一篇文章值 4 Ptt幣,
103.162.84.2 05/19 10:30
推
Jeff1989
好猛
49.218.205.172 05/19 10:30
推
saiboos
AI太強了...
39.15.16.132 05/19 10:33
→
yunf
https://tinyurl.com/27xfd8ua 這站沒人報
49.216.167.242 05/19 10:40
推
neilisme
蘋果的安全一直都是個笑話阿
61.216.64.210 05/19 10:42
推
ZXCVBNM
回2樓,美國國防部老早就在用了
180.176.72.27 05/19 10:44
推
chanel1259
五天攻破處女膜再來爆卦
123.240.185.243 05/19 10:49
→
laechan
等正式進入全民量子時代,需要的就是連量
111.83.251.190 05/19 10:52
→
laechan
子運送速度都攻不破的其它加密或辨識技術
111.83.251.190 05/19 10:52
→
babyMclaren
發現了漏洞開始算喔…
49.216.160.133 05/19 10:57
→
babyMclaren
攻擊完了再開始算,不是一秒就攻破
49.216.160.133 05/19 10:57
→
babyMclaren
了
49.216.160.133 05/19 10:57
推
idlewolf
之後量子電腦技術成熟配合ai才是真的科
36.236.254.222 05/19 11:01
→
idlewolf
技引爆點 有生之年不知看不看得到
36.236.254.222 05/19 11:02
推
holiybo
以後AI要入侵你核彈發射系統只是分分鐘
101.8.239.161 05/19 11:03
→
holiybo
的事情
101.8.239.161 05/19 11:03
噓
SuperBig78
不用怕 我們有天才資訊大臣
114.160.1.50 05/19 11:04
推
alotofjeff
看來鈔票與硬幣的時代會回來,因為銀
202.3.183.139 05/19 11:06
→
alotofjeff
行系統太脆弱了
202.3.183.139 05/19 11:06
推
ChangHash
攻破處女膜哪需要5天?
59.120.244.37 05/19 11:06
→
finhisky
某智障在翠發文 ai是白癡?
101.8.241.226 05/19 11:08
→
krousxchen
說蘋果安全是笑話的,用什麼安全系統?
1.165.90.183 05/19 11:10
推
asidy
資安股又要受苦了
112.104.75.3 05/19 11:11
推
EspressoJ
哈哈哈哈電子垃圾
27.240.128.209 05/19 11:13
→
Arashi0731
道高一尺魔高一丈而已,端看誰迭代的
223.141.187.207 05/19 11:20
→
Arashi0731
速度快,畢竟天下武功無快不破
223.141.187.207 05/19 11:20
→
TheDonDon
俄羅斯都自產應該是沒有
220.133.4.59 05/19 11:31
推
adk147852
以後484都AI攻防 都要搞一堆算力互殺
36.237.193.98 05/19 11:38
推
johnney
以後只有ai能夠對抗ai 人類只能旁邊玩沙
36.235.183.156 05/19 11:39
→
MyPetTankDie
這就是天網近期一定會出現的原因,
223.137.131.122 05/19 11:57
→
MyPetTankDie
天網最初的用途就是國家用的具適應
223.137.131.122 05/19 11:57
→
MyPetTankDie
性軍用攻防管制系統AI。不過大概現
223.137.131.122 05/19 11:58
→
MyPetTankDie
在做是不會暴走啦,只是照這種威脅
223.137.131.122 05/19 11:58
→
MyPetTankDie
的發展速度來看的話再十年二十年就
223.137.131.122 05/19 11:58
→
MyPetTankDie
難說就是了,畢竟威脅快,底線也掉
223.137.131.122 05/19 11:58
→
MyPetTankDie
得快,太平洋和西伯利亞冷戰時期試
223.137.131.122 05/19 11:58
→
MyPetTankDie
爆核污染就是例子
223.137.131.122 05/19 11:58
推
wickham15
呼叫yoyodiy
223.137.178.103 05/19 12:03
推
hongsiangfu
跟我想的不一樣
42.73.130.235 05/19 12:10
→
drmactt
等機器人技術成熟之時,人類丸子,蒸的丸
116.241.199.105 05/19 12:10
→
drmactt
子
116.241.199.105 05/19 12:10
推
now99
全部都打一遍不就好了
223.140.209.140 05/19 12:11
→
now99
以後政府標案都要加上ai攻擊掃描報告才能
223.140.209.140 05/19 12:12
→
now99
上線
223.140.209.140 05/19 12:13
→
MyPetTankDie
我們連外部連結都採用完全信任制了
223.137.131.122 05/19 12:15
→
MyPetTankDie
,資訊落後國不用有太多期待
223.137.131.122 05/19 12:15
→
MyPetTankDie
。認真說一堆標案真的經不起考驗,
223.137.131.122 05/19 12:15
→
MyPetTankDie
你會動搖國本
223.137.131.122 05/19 12:15
推
dboy1980
善攻者動於九天之上
2.56.252.186 05/19 12:19
→
E103A6
Anthropic Claude何時會攻破比特幣
36.224.2.122 05/19 12:19
推
lastphil
蘋果的安全資訊不就美國政府想調隨便看
1.161.152.146 05/19 12:51
→
MyPetTankDie
美國本來就都隨便看了,不過最近大
223.137.131.122 05/19 12:52
→
MyPetTankDie
概看到的東西多不少是真的
223.137.131.122 05/19 12:53
推
MrCool5566
只能用 Rust 改寫了
223.138.146.87 05/19 12:55
噓
itmyshit
跟我想的一樣
111.83.210.45 05/19 13:08
推
Tsubasa1008
防線再多都是被 yoyodiy 繞過去
60.249.252.218 05/19 13:17
推
mqhung
可以破解PS5的光碟片讀取機制嗎?
42.79.81.126 05/19 13:18
推
pttjason
Ai價值又提升了
114.140.84.2 05/19 14:07
推
q541700
你說的很有道理啥都很危險建議退回石器時
118.231.200.158 05/19 14:14
→
q541700
代最安全
118.231.200.158 05/19 14:14
推
AustinPowers
解釋得很詳細,我懂了。
118.165.110.114 05/19 20:21
噓
patvessel
建築師花了5年蓋了一棟安全的金庫
125.229.28.82 05/19 23:47
→
patvessel
但某個通風口門沒鎖好忘記上鎖
125.229.28.82 05/19 23:48
→
patvessel
小偷利用新型無人機(AI)花了5天溜進去
125.229.28.82 05/19 23:49
→
patvessel
拚死拚活夾了五元出來
125.229.28.82 05/19 23:49
→
patvessel
然後就在銀行門口開記者會了
125.229.28.82 05/19 23:50
→
patvessel
我們五天摧毀了銀行金庫防禦!
125.229.28.82 05/19 23:51