精心构筑的安全防线出现裂缝。安全研究人员借助MacOS操作系统中的漏洞组合,并在五天内构建出一套可绕过苹果安全技术的攻击代码——这一突破,正将全球AI安全威胁的讨论推向新的高度。
14日报道,总部位于帕洛阿尔托的安全研究公司Calif的研究人员,在今年4月测试Mythos早期版本期间,发现了MacOS中的两个漏洞,并将其与多种技术手段串联,实现了对Mac内存的破坏,进而获取了本应无法访问的系统权限。这是一种“权限提升漏洞利用”,若与其他攻击手段链式组合,可被用于完全控制目标。苹果公司表示正在审查Calif提交的报告,并称“安全是我们的首要任务”。
此次发生的背景,是全球层和精英对Mythos能力的高度警惕。点名Mythos可能引发"宏观冲击";英国央行行长贝利感叹"上辈子到底做错了什么";欧洲央行警告一旦落入错误之手"后果将不堪设想"。与此同时,
五天攻破"半个十字架":Mythos如何突破苹果防线
苹果的MacOS长期被视为全球最难攻破的操作系统之一。去年9月,苹果推出名为"内存完整执行"(Memory Integrity Enforcement,MIE)的安全技术,称其是"历时五年、前所未有的设计与工程努力的集大成之作"。
然而,Calif的研究人员借助Mythos,仅用五天便完成了利用两个MacOS漏洞的攻击代码构建。Mac内存并获取受保护的系统权限。研究人员本周二专程从帕洛阿尔托驱车前往苹果位于库比蒂诺的总部,当面递交了一份长达55页的漏洞报告。
不过,Calif首席执行官Thai Duong强调,此次攻击并非Mythos单完成,而是充分依赖了公司安全研究人员的专业经验。他指出,Mythos擅长复现已有文档记录的攻击手法,"我们尚未见到它自主提出全新攻击技术的案例,这(次突破)在某种程度上是新鲜事物。"曾任职谷歌的安全研究员Michał Zalewski在审阅Calif报告后表示,尽管围绕Mythos的部分炒作"言过其实",但最新AI工具确实可用于"有实质意义的漏洞研究和代码审计"。
Duong预计,苹果将很快修复上述漏洞,Calif计划在苹果完成补丁后公开攻击细节。
骤缩:AI重塑安全威胁格
此次MacOS漏洞,据彭观点专栏作家Parmy Olson指出,从软件漏洞公开披露到可用攻击工具出现,这一窗口期已从2018年的平均771天骤降至如今不足4小时。
今年早些时候,Anthropic的AI在两周内发现了Firefox浏览器逾100个高危漏洞,而全球其他渠道通常需要两个月才能发现同等数量。IMF在5月7日的客文章中直接点名Mythos,称其已发现"每个主流操作系统和浏览器中的漏洞",可能引发层面的“相关失败”。
AI的自动化攻击能力,使沿用数十年的"负责任披露"机制面临严峻挑战。彭观点指出,Mythos真正的威胁并非主要指向拥有IT安全体系的大型,而是对医院、中小企业和小型零售商等防御薄弱环节发出的紧急警示——这些机构既是历来惯常瞄准的目标,也普遍缺乏快速响应所需的资源。
全球层拉响警报:从华尔街
Mythos引发的震动已蔓延至全球层。美国财政部长贝森特4月召集华尔街高管评估系统防御准备,财政部目前正寻求直接获取Mythos访问权限。Bessent表示,"我有信心,所有人现在都已达成共识,正朝着同一方向努力,共同构建抗风险能力。"
在国际货币组织与世界欧洲央行行长拉加德警告,一旦该技术落入错误之手,"后果将不堪设想"。英国央行行长贝利则坦言,面对Mythos带来的未知威胁,层对其了解仍然有限,难以判断其究竟在已知安全风险上实现了多大跨越。
目前,Mythos仅向约40家以微软及尚未获得访问权限,由此引发外界对全球体系保护水平参差不齐的担忧。率先获准评估Mythos的英国AI安全研究院认定,
与此同时,白宫此前曾反对Anthropic逐步扩大Mythos访问权限,联邦目前正考虑出台令,
全部评论