關鍵要點
- 安全研究公司Calif利用Anthropic的Mythos AI模型開發的技術,發現了蘋果macOS中的兩項重大漏洞。
- 這種被稱為「提權」的漏洞利用,允許黑客通過串聯這兩個漏洞來獲取Mac計算機的控制權。
- 這一發現突顯了AI在發現軟件缺陷方面日益增強的能力,引發了「漏洞大爆發」(Bugmageddon)的警告,並促使白宮重新評估對AI的監管。
返回
AI發現蘋果macOS系統的兩項重大安全缺陷
安全研究人員發現了一種繞過蘋果公司先進安全措施的新方法,通過AI輔助過程揭示了macOS操作系統中的兩個不同漏洞。由安全公司Calif在Anthropic Mythos AI早期版本的幫助下完成的這一發現,標誌著網絡安全中由AI驅動的進攻與防禦之間新軍備競賽的重要進展。
「這項技術值得關注,因為蘋果在鎖定macOS方面投入了巨大精力,」審閱了Calif研究的前谷歌安全研究員Michał Zalewski表示。蘋果公司正利用其自身的AI模型測試漏洞,目前正在審閱這份長達55頁的報告。該公司一位發言人表示:「安全是我們的首要任務,我們非常認真地對待潛在漏洞的報告。」
這家總部位於帕洛阿爾托的公司的研究人員表示,他們的軟件將這兩個漏洞關聯起來以破壞Mac的內存,從而允許訪問設備本應無法進入的部分。這種「提權」漏洞利用如果與其他攻擊結合,可能允許黑客控制計算機。該團隊僅用五天時間就構建了利用這些漏洞的代碼。
這一發現加劇了網絡安全專家對「漏洞大爆發」(Bugmageddon)的日益擔憂,即Anthropic和OpenAI等公司的先進AI模型可能發現海量的新軟件漏洞。這可能會讓負責修補漏洞的企業技術部門不堪重負,並造成前所未有的網絡安全風險,據報導這已導致白宮重新考慮其AI開發和監管方式。
人機協作
這次攻擊並非完全由AI完成。Calif首席執行官Thai Duong澄清說,該漏洞利用需要人類黑客的專業知識。他指出,雖然Mythos在複製已記錄的攻擊方面表現出色,但「我們還沒有看到它能提出全新攻擊技術的情況。」這次成功的利用是人類智慧與AI驅動分析的結合。
這些漏洞繞過了蘋果的內存完整性強制執行(MIE)技術,該公司去年9月推出的這項技術被稱為「長達五年的前所未有設計與工程努力的結晶」。Calif的研究人員對他們的發現非常有信心,以至於他們親自驅車前往蘋果庫比蒂諾總部提交報告。
行業影響
利用AI在像macOS這樣加固的目標中發現如此高級別的漏洞,對整個軟件行業具有重大影響。這表明發現關鍵漏洞的成本和時間可能會大幅下降,迫使公司加大對自動化安全測試和基於AI的防禦措施的投入。
對於蘋果來說,這一消息直接挑戰了其安全性聲譽。該公司股價目前以約30倍遠期收益進行交易,消息傳出後未立即表現出劇烈波動,但針對其旗艦操作系統的成功利用可能會影響消費者信心。Calif計劃在蘋果修補問題後發布攻擊的完整細節,Duong預計這很快就會發生。
本文僅供參考,不構成投資建議。
