Исследователи из калифорнийской фирмы по кибербезопасности Calif обошли флагманскую защиту macOS с помощью Claude Mythos Preview всего за пять дней — а ведь на разработку этой защиты у Apple ушло пять лет. Об этом со ссылкой на отчет компании написал WSJ.
Картина такая. Исследователи нашли в macOS два бага и связали их в цепочку — сначала через один баг испортили память Mac, потом через второй получили доступ к закрытым частям системы. Это так называемая атака повышения привилегий (privilege escalation): сама по себе она компьютер не компрометирует, но если ее соединить с другими эксплойтами, хакер получает полный контроль над устройством. Главное здесь то, что именно обошли — механизм Memory Integrity Enforcement, который Apple представила в сентябре прошлого года как «кульминацию беспрецедентных дизайнерских и инженерных усилий, занявших полдесятилетия». То есть пробита та самая защита, в которую Apple вкладывалась пять лет.
При этом сам по себе Mythos не взломщик-одиночка — и в этом отдельный сюжет. Тай Дуонг, гендиректор Calif, прямо сказал WSJ, что без экспертизы его хакеров одна модель ничего бы не сделала, а сама она пока умеет лишь воспроизводить уже задокументированные техники, новых не изобретает. Но вот в чем фокус: до Mythos та же команда хакеров годами не могла пробить MIE, а с моделью справилась за пять дней. AI здесь сработал не как автономный взломщик, а как ускоритель — он многократно сократил время от идеи к рабочему эксплойту. Работу Calif рецензировал Михал Залевски, бывший security-исследователь Google, и его вывод именно об этом: результат показателен не тем, что AI всемогущ, а тем, что Apple вложила в защиту огромные ресурсы — и ее все равно удалось обойти в новые сроки.
Apple сейчас проверяет отчет и, по словам Дуонга, патчи появятся быстро; детали эксплойта Calif обещает раскрыть после фикса. Но история выходит за рамки одного CVE: WSJ пишет, что багмагеддон уже заставил Белый дом пересмотреть позицию невмешательства в разработку AI — администрация теперь рассматривает указ, который даст государству надзор над самыми продвинутыми моделями.
P.S. Поддержать меня можно подпиской на канал «сбежавшая нейросеть«, где я рассказываю про ИИ с творческой стороны.
ссылка на оригинал статьи https://habr.com/ru/articles/1035338/