Claude Mythos обошел защиту macOS всего за пять дней

Исследователи из калифорнийской фирмы по кибербезопасности Calif обошли флагманскую защиту macOS с помощью Claude Mythos Preview всего за пять дней — а ведь на разработку этой защиты у Apple ушло пять лет. Об этом со ссылкой на отчет компании написал WSJ.

Картина такая. Исследователи нашли в macOS два бага и связали их в цепочку — сначала через один дефект испортили хранилище Mac, потом через второй получили доступ к закрытым частям системы. Это так называемая атака повышения привилегий (privilege escalation): сама по себе она компьютер не компрометирует, но если ее соединить с другими эксплойтами, хакер получает цельный контроль над устройством. Главное здесь то, что именно обошли — алгоритм Memory Integrity Enforcement, который Apple представила в сентябре прошлого года как "кульминацию беспрецедентных дизайнерских и инженерных усилий, занявших полдесятилетия". То есть пробита та самая защита, в которую Apple вкладывалась пять лет.

Одновременно сам по себе Mythos не взломщик-одиночка — и в этом отдельный сюжет. Тай Дуонг, гендиректор Calif, прямо сказал WSJ, что без экспертизы его хакеров одна схема ничего бы не сделала, а сама она пока умеет лишь воспроизводить уже задокументированные техники, новых не изобретает. Но вот в чем фокус: до Mythos та же команда хакеров годами не могла пробить MIE, а с моделью справилась за пять дней. AI здесь сработал не как автономный взломщик, а как ускоритель — он многократно сократил время от идеи к рабочему эксплойту. Работу Calif рецензировал Михал Залевски, бывший security-исследователь Google, и его вывод именно об этом: результат показателен не тем, что AI всемогущ, а тем, что Apple вложила в защиту огромные ресурсы — и ее все равно удалось обойти в новые сроки.

Apple сейчас проверяет отчет и, согласно заявлению Дуонга, патчи появятся быстро; детали эксплойта Calif обещает раскрыть после фикса. Но история выходит за рамки одного CVE: WSJ пишет, что багмагеддон уже заставил Белый дом пересмотреть позицию невмешательства в разработку AI — администрация теперь рассматривает указ, который даст государству надзор над самыми продвинутыми моделями.

P.S. Поддержать меня можно подпиской на канал "сбежавшая нейросеть", где я рассказываю про ИИ с творческой стороны.