关键要点
- 安全研究公司Calif利用Anthropic的Mythos AI模型开发的技术,发现了苹果macOS中的两项重大漏洞。
- 这种被称为“提权”的漏洞利用,允许黑客通过串联这两个漏洞来获取Mac计算机的控制权。
- 这一发现突显了AI在发现软件缺陷方面日益增强的能力,引发了“漏洞大爆发”(Bugmageddon)的警告,并促使白宫重新评估对AI的监管。
返回
AI发现苹果macOS系统的两项重大安全缺陷
安全研究人员发现了一种绕过苹果公司先进安全措施的新方法,通过AI辅助过程揭示了macOS操作系统中的两个不同漏洞。由安全公司Calif在Anthropic Mythos AI早期版本的帮助下完成的这一发现,标志着网络安全中由AI驱动的进攻与防御之间新军备竞赛的重要进展。
“这项技术值得关注,因为苹果在锁定macOS方面投入了巨大精力,”审阅了Calif研究的前谷歌安全研究员Michał Zalewski表示。苹果公司正利用其自身的AI模型测试漏洞,目前正在审阅这份长达55页的报告。该公司一位发言人表示:“安全是我们的首要任务,我们非常认真地对待潜在漏洞的报告。”
这家总部位于帕洛阿尔托的公司的研究人员表示,他们的软件将这两个漏洞关联起来以破坏Mac的内存,从而允许访问设备本应无法进入的部分。这种“提权”漏洞利用如果与其他攻击结合,可能允许黑客控制计算机。该团队仅用五天时间就构建了利用这些漏洞的代码。
这一发现加剧了网络安全专家对“漏洞大爆发”(Bugmageddon)的日益担忧,即Anthropic和OpenAI等公司的先进AI模型可能发现海量的新软件漏洞。这可能会让负责修补漏洞的企业技术部门不堪重负,并造成前所未有的网络安全风险,据报道这已导致白宫重新考虑其AI开发和监管方式。
人机协作
这次攻击并非完全由AI完成。Calif首席执行官Thai Duong澄清说,该漏洞利用需要人类黑客的专业知识。他指出,虽然Mythos在复制已记录的攻击方面表现出色,但“我们还没有看到它能提出全新攻击技术的情况。”这次成功的利用是人类智慧与AI驱动分析的结合。
这些漏洞绕过了苹果的内存完整性强制执行(MIE)技术,该公司去年9月推出的这项技术被称为“长达五年的前所未有设计与工程努力的结晶”。Calif的研究人员对他们的发现非常有信心,以至于他们亲自驱车前往苹果库比蒂诺总部提交报告。
行业影响
利用AI在像macOS这样加固的目标中发现如此高级别的漏洞,对整个软件行业具有重大影响。这表明发现关键漏洞的成本和时间可能会大幅下降,迫使公司加大对自动化安全测试和基于AI的防御措施的投入。
对于苹果来说,这一消息直接挑战了其安全性声誉。该公司股价目前以约30倍远期收益进行交易,消息传出后未立即表现出剧烈波动,但针对其旗舰操作系统的成功利用可能会影响消费者信心。Calif计划在苹果修补问题后发布攻击的完整细节,Duong预计这很快就会发生。
本文仅供参考,不构成投资建议。
