五年防线，五天击穿：被打掉的不是苹果的墙，是"麻烦"本身

这件事到底发生了什么

事情的骨架很干净。2026 年 4 月 25 日，Calif 的 Bruce Dang 在 macOS 内核里找到一个内存破坏 bug。4 月 27 日，Dion Blazakis 加入，团队把第二个漏洞接上，并把 Claude Mythos Preview 投进来挖利用路径。5 月 1 日，完整链跑通：在一台开着 MIE、跑 macOS 26.4.1（build 25E253）的 M5 MacBook 上，从无特权本地用户起步，只用正常系统调用，操纵内核里的凭证结构，拿到 root shell。从发现到可用利用，大约五天。

Calif 把这个利用链称为「data-only kernel local privilege escalation chain」——数据导向的内核本地提权链。两个漏洞、几项技术串成。技术细节没公开：他们写了一份 55 页的报告，在苹果总部当面交给苹果，并明确说在补丁发布前不放出来。两个具体漏洞、被操纵的内核结构，目前都是黑盒。这件事可以确认的是结果和方法论，不是配方。

它为什么是个事件，而不是又一个内核 0day？因为它打的不是普通 macOS，是 M5。M5 上开着苹果 2025 年 9 月发布的 MIE，苹果押注了它五年，发布稿里的措辞接近"我们基本解决了内存安全"。一个被官方定义为时代级的防线，被三个人加一个模型在五天内绕过——真正值得记下来的不是漏洞本身，是这道防线设计上的边界第一次被公开实战验证。

MIE 防什么，不防什么

要看懂这次绕过，先得看清 MIE 到底是什么。

MIE 全称 Memory Integrity Enforcement，苹果对它的官方描述是三件东西的组合：同步模式的 EMTE、一组安全内存分配器、加上 Tag Confidentiality Enforcement。核心机制是内存打标签。EMTE 是苹果在 ARM 内存标签扩展（MTE）基础上做的强化版：给每一块内存和每一个指向它的指针都贴一个标签，程序访问内存时，处理器检查指针上的标签和内存块上的标签对不对得上。对不上，硬件当场拦下。

这套机制专门吃三类经典内存破坏。缓冲区溢出：访问越界到了相邻内存，那块内存标签不一样，拦。释放后使用（use-after-free）：内存被重新分配后会换标签，再拿旧标签去访问，拦。类型混淆：分配器按类型组织内存，攻击者很难再制造"同一块内存被当成两种类型解读"。苹果说 MIE「大幅压缩了攻击者可用的利用策略」，是"消费操作系统内存安全史上最重要的一次升级"。这些说法在它防的范围内基本成立。

问题在那个范围之外。MIE 检查的是指针——你拿一个指针去访问内存，它核对标签。Calif 这次走的是 data-only：不伪造指针、不注入可执行代码，而是操纵已经合法存在的内存结构和可信执行路径里的数据。按 CyberInsider 的转述，「数据导向利用技术操纵已有内存结构和可信执行路径，而不是往内存里塞恶意可执行 payload」。攻击者全程没碰 MIE 真正盯着的那些操作——所有访问都用合法的标签、走合法的指针，只是被访问的数据被改成了对攻击者有利的值。最终他们改的是内核凭证结构里的字段，把一个普通用户的权限改成 root。

这不是 MIE 没做好，是 MIE 在设计上就没管这一层。指针完整性防护和数据完整性是两个问题。苹果发布时强调 MIE 让针对现代系统的公开利用链"难以为继"，这次事件是对那句话边界的一次精确标定：难以为继的是指针腐化型的利用，data-only 这条路它本来就够不着。安全圈早就知道 data-only 攻击在理论上能绕开内存标签——这次的新东西不是这个知识，是有人在真实 M5 硬件上把它从理论做成了可复现的 root。

"五天"的真相：模型找已知 bug，人绕新缓解

"五天打穿五年"这句话最容易被读成 AI 自主黑掉了苹果。Calif 自己把这个误读堵死了。

按 9to5Mac 转述团队的说法，「Mythos 很快找到这些 bug，因为它们属于已知 bug 类别」。这句话的两个限定词都重要。一是"很快"——速度是模型给的。二是"已知 bug 类别"——模型擅长的是在它见过的漏洞模式里高速搜索，不是发明全新的攻击范式。Calif 接着说得更直白：「自主绕过 MIE 可能很棘手。这正是人类专业知识发挥作用的地方。」绕过 MIE 这种全新的缓解措施，是人做的。团队对这次合作的总结是：「一周内对着最强防护打穿一个内核内存破坏利用，这很值得注意，也强烈说明了这种'模型+专家'配对的能力。」关键词是 pairing，配对，不是替代。

把分工拆清楚就看明白价值在哪了。找 bug 这一环——在海量代码里识别属于已知模式的可疑点——是典型的高重复、需要专家但单调的工作，过去靠资深研究员的时间堆。Mythos 在这一环把人月级的工作压成了天级。绕新缓解这一环——面对 MIE 这种从没人公开打穿过的东西，设计一条数据导向的路径——需要的是创造性和对系统的深理解，这一环还在人手里。

Mythos 本身值得单独看一眼。Anthropic 在它的红队页面里说，Mythos Preview 在测试中跨所有主流操作系统和浏览器发现了数千个零日，其中包括一个 27 岁的 OpenBSD TCP bug、一个 16 岁的 FFmpeg H.264 漏洞、一个 17 岁的 FreeBSD NFS 缺陷——这些都是熬过了几十年人工审查和数百万次自动化测试的东西。Anthropic 说它发现的漏洞里超过 99% 还没打补丁，并且明确不打算公开发布这个模型，只通过一个叫 Project Glasswing 的产业联盟给少数关键基础设施伙伴和开源开发者用。M5 这件事不是一次孤立演示，是这个能力曲线上的一个采样点。

真正被击穿的是"麻烦"

把 MIE 的边界和"模型+专家"的分工放一起，这件事真正的含义才浮出来。它不是关于苹果，是关于整个行业用了几十年的一套安全经济学。

Anthropic 在 Mythos 页面里给了这次事件最准的一句注解：「那些安全价值主要来自'增加摩擦'而非'硬性屏障'的缓解措施，在有模型辅助的攻击者面前会显著变弱。」这句话需要拆开看。现代系统安全里，相当一部分防护的目标只是"让攻击麻烦到不值得"，而非"让攻击在数学上不可能"。ASLR、堆布局随机化、各种利用缓解，本质都是往攻击者的路上撒钉子，让构造一条可用利用链需要顶级专家花数周到数月的枯燥劳动。这种枯燥劳动的成本，就是防线。绝大多数攻击者不是被挡在数学墙外，是被劝退在工时账单前。

语言模型恰好特别擅长把"枯燥但需要专家时间"的工序系统化。它不嫌烦，不疲劳，可以在已知 bug 模式空间里不停搜，把过去要资深研究员盯几周的活压成几天。当攻击的人力成本从"几个顶级专家几个月"掉到"一个专家配一个模型几天"，所有靠这个成本撑着的缓解措施同时贬值——不是某一道防线被绕过，是一整类"靠麻烦换安全"的防线一起变薄。MIE 在这件事里既是受害者也是反例：它防指针腐化的那部分是硬屏障，那部分没被打穿；它整体作为"提高攻击门槛"的叙事，被 data-only 这条路从侧面绕开了。

这条逻辑对企业的杀伤面比对苹果大得多。苹果至少有一道真硬的指针级硬件屏障，多数企业的纵深防御里，有多少"防线"其实是摩擦——内网分段靠的是攻击者懒得横移，老系统不打补丁靠的是没人针对你写专门的利用，安全靠的是"我们不是高价值目标所以没人花那个工时"。这些假设的共同前提是攻击需要昂贵的人力。这次事件是这个前提第一次被公开证伪的一个数据点。

盲区：我们不知道的，和不该夸大的

这件事有几个地方必须说清楚边界，不然就成了贩卖焦虑。

技术细节是黑盒。两个漏洞是什么、内核里被操纵的具体结构、那条 data-only 路径的精确步骤，全在那份 embargo 的 55 页报告里。公开能确认的只有方法论层面的事实和结果。任何把这条链讲得很具体的二手描述，都应该打问号——包括本文，本文只敢讲到 data-only 绕过指针级标签这一抽象层。

致谢口径二手源对不齐。有报道说 macOS Tahoe 26.5 已在相关修复里致谢 Calif 和 Anthropic Research，也有报道只确认被攻破的是 26.4.1，没提 26.5 的致谢措辞。在苹果官方补丁说明和 Calif 完整报告出来之前，"已修复并致谢"应按"待精确确认"处理，而不是当成已盖章的事实。

防御侧不是只有坏消息。Anthropic 自己的判断是分两段的：「长期看，我们预期是防御方能更高效地调配资源、用这些模型在新代码上线前就修掉 bug。短期看，如果前沿实验室不谨慎地发布这些模型，占优的可能是攻击方。」同一个能把已知 bug 类搜索压成天级的模型，给防御方用就是上线前把同类漏洞批量扫掉。Anthropic 不公开发布 Mythos、改走 Glasswing 联盟，本身就是在试图管理这个短期窗口。这件事是不对称的攻防赛跑里的一个时点，不是终局。把它讲成"安全已死"，和当初把 MIE 讲成"内存安全已解决"，是同一种过头。

对从业者意味着什么

• 安全负责人：本周做一件事——把你的纵深防御逐条标注"这是硬屏障还是摩擦"。靠"攻击太麻烦"撑着的那几条，按"专家成本已大幅下降"重新估它们的实际强度。摩擦型防线没失效，但它的报价单需要重算。
• CTO / 决策者：别再把"我们上了内存安全硬件/某某防护"当作可以对外讲的终点。苹果押了五年的东西边界都被公开标定了。安全叙事从"我们部署了 X"转向"我们假设 X 会被绕过，第二层是什么"。
• 平台 / 系统架构师：本周复查你最关键的内核态/特权态数据结构，重点不是"指针会不会被腐化"，是"如果攻击者只能改数据、不能伪造指针，他能不能改到提权"。data-only 这条思路要进你的威胁模型，硬件内存标签不替你挡这层。
• 安全工程师：盯 Calif 的 55 页报告和苹果补丁说明。补丁落地前别照二手描述复现，技术细节是黑盒。同时把"模型辅助"放进你自己的攻防演练——同一个能力对你也开放，防御方用它在上线前批量扫已知 bug 类，是这件事里少数的好消息。
• 采购 / 合规：供应商安全问卷里"是否启用内存安全防护"这类是非题的信息价值在下降。开始问"假设该防护被 data-only 绕过，你的下一层补偿控制是什么"。

更深一层的信号：这次真正的稀缺资源换位了。过去攻防天平上压秤的是"会构造利用链的顶级专家有多少、有多少时间"。模型把"已知 bug 类的搜索"这一环近乎商品化之后，稀缺性移到了两端——发明全新缓解和全新攻击范式的创造力，以及把模型能力规模化部署到防御侧的工程能力。中间那段昂贵的人力枯燥劳动，正在被抽走。谁先把抽走的那段红利用在防御上，谁就赢下这个短期窗口。

---

本期关键词

MIE（Memory Integrity Enforcement，内存完整性保护） — 苹果 2025 年 9 月发布的内存安全防线，押注五年、据估投入数十亿美元。由同步模式 EMTE、安全内存分配器、Tag Confidentiality Enforcement 三部分组成。专门防缓冲区溢出、释放后使用、类型混淆这类指针腐化型攻击。它的设计边界是只看指针——这正是这次被 data-only 攻击从侧面绕开的原因。

EMTE（Enhanced Memory Tagging Extension，增强内存标签扩展） — 苹果在 ARM 内存标签扩展（MTE）上做的强化版，是 MIE 的核心机制。给每块内存和每个指向它的指针贴标签，访问时硬件核对标签是否一致，不一致当场拦截。"同步模式"指检查实时发生、不延迟，这是它比标准 MTE 强的关键。

data-only attack（数据导向攻击） — 不注入可执行代码、不伪造指针，只篡改程序里已经合法存在的数据，让正常的代码路径产出对攻击者有利的结果。因为全程用合法指针、走合法路径，内存标签机制核对不到异常。这是这次绕过 MIE 的方法论核心，也是内存标签类防护的天然盲区。

本地提权链（Local Privilege Escalation chain，LPE） — 攻击者已经能在机器上以低权限运行（比如一个普通用户账号），通过串联一个或多个漏洞，把自己的权限抬到 root/系统级。这次的链从无特权用户起步，只用正常系统调用，终点是 root shell。"链"指多个漏洞和技术步骤接力，单个漏洞不足以走完全程。

内核凭证结构（kernel credential structures） — 操作系统内核里记录"这个进程是谁、有什么权限"的数据结构。把这里的字段从普通用户改成 root，进程权限就变了。这是这次 data-only 攻击最终落点：不执行代码，只改这块数据。

已知 bug 类别（known bug classes） — 安全研究里被反复见过、有成熟识别和利用范式的漏洞模式（如某类释放后使用、某类整数溢出）。Mythos 的强项是在这类模式空间里高速搜索匹配点，而不是发明全新攻击范式——这是理解"五天"的关键限定。

摩擦型缓解（friction-based mitigation） — 安全价值主要来自"让攻击变麻烦、变贵、变耗时"而非"让攻击在数学上不可能"的防护措施。ASLR、堆随机化、多数利用缓解都属此类。Anthropic 的判断是这类防护在模型辅助的攻击者面前会显著变弱，因为模型不嫌枯燥、能把专家工时压成天级。

Claude Mythos Preview — Anthropic 的一个对计算机安全任务异常强的模型。测试中跨主流系统和浏览器发现数千个零日，含 27 年的 OpenBSD、16 年的 FFmpeg、17 年的 FreeBSD 老漏洞。Anthropic 明确不公开发布它，只通过 Project Glasswing 联盟给少数关键基础设施伙伴。

Project Glasswing — Anthropic 围绕 Mythos Preview 建的产业联盟。逻辑是：既然这种能力短期对攻击方有利，就不公开放出模型，先把它交给少数关键软件的防御方和开源开发者，让防御侧抢在攻击者规模化之前用上同样的能力。这是 Anthropic 管理攻防短期不对称窗口的具体动作。

协同漏洞披露（coordinated vulnerability disclosure） — 研究者把漏洞先私下给厂商、等补丁发布后再公开技术细节的流程。Calif 在苹果总部当面交了 55 页报告、承诺补丁前不公开，是这个流程的标准操作。也是为什么本文只能讲方法论、讲不了配方。

原文关键引用

"Mythos discovered the bugs quickly because they belong to known bug classes."（Mythos 很快找到这些 bug，因为它们属于已知 bug 类别。）—— Calif 团队，转引自 9to5Mac

"autonomously bypassing it can be tricky. This is where human expertise comes in."（自主绕过 MIE 可能很棘手。这正是人类专业知识发挥作用的地方。）—— Calif 团队，转引自 9to5Mac

"Landing a kernel memory corruption exploit against the best protections in a week is noteworthy, and says something strong about this pairing."（一周内对着最强防护打穿一个内核内存破坏利用，这很值得注意，也强烈说明了这种"模型+专家"配对的能力。）—— Calif 团队

"Mitigations whose security value comes primarily from friction rather than hard barriers may become considerably weaker against model-assisted adversaries."（那些安全价值主要来自"增加摩擦"而非"硬性屏障"的缓解措施，在有模型辅助的攻击者面前会显著变弱。）—— Anthropic

"In the long term, we expect it will be defenders who will more efficiently direct resources... In the short term, this could be attackers, if frontier labs aren't careful about how they release these models."（长期看，我们预期是防御方能更高效地调配资源……短期看，如果前沿实验室不谨慎地发布这些模型，占优的可能是攻击方。）—— Anthropic

引用

1. First public macOS kernel memory corruption exploit on Apple M5 —— 本期拆解一手原文，Calif 公告
2. Memory Integrity Enforcement: A complete vision for memory safety in Apple devices —— 苹果官方 MIE 技术说明（被绕过的防线）
3. Claude Mythos Preview —— Anthropic 对所用 AI 模型的官方说明 + 攻防不对称判断
4. Anthropic Mythos helped Calif build a macOS exploit in five days —— 9to5Mac，时间线/人员/引语交叉验证
5. First Apple M5 memory exploit discovered using Anthropic AI, gives root access —— Tom's Hardware，MIE 概念交叉
6. Researchers claim the first macOS kernel exploit on Apple M5 chips —— CyberInsider，data-only 技术描述 + Apple Park 当面披露