Anthropic 的 Mythos 刚刚帮助发现了一个可能突破苹果安全防护的 macOS 漏洞

# Anthropic 的 Mythos 刚刚帮助发现了 macOS 漏洞，可能打破苹果的安全防护 - Firethering 来源：https://firethering.com/anthropic-mythos-macos-vulnerabilities-apple/ \- 广告 - Anthropic 已经明确说明了为什么 Mythos 没有公开。这个模型在发现安全漏洞方面过于出色，尤其是在那些由世界上最优秀的工程师维护多年的生产系统中，它能反复找到漏洞。 因此，Anthropic 没有公开发布，而是推出了 Project Glasswing。大约有 40 个组织获得了受控访问权限。Anthropic 承诺提供 1 亿美元的信用额度来支持这项工作。名单包括苹果、谷歌和微软，这些公司本身并不缺乏安全人才。 其中一家组织是总部位于帕洛阿尔托的网络安全公司 Calif。今年 4 月，他们的研究人员利用源自 Mythos 的技术发现了 macOS 中两个此前未被记录的漏洞。他们将这两个漏洞串联起来，形成了一个权限提升利用程序，能够绕过苹果的内存完整性保护——这是系统中本应对普通进程完全封锁的部分。随后，他们飞往库比蒂诺，亲自向苹果递交了一份 55 页的报告。 苹果正在审查该报告。预计会发布补丁。而 Mythos 刚刚将 macOS 加入了一份名单，这份名单上已经包含一个存在 27 年的 OpenBSD 漏洞和多个此前无人发现的 Linux 漏洞。 ## **并非 Mythos 独自完成** Calif 首席执行官 Thai Dong 在接受《华尔街日报》采访时直言不讳：这次攻击“不可能仅靠 Mythos 完成，还利用了 Calif 黑客们非常深厚的人类网络安全专业知识。” 这种区分在两方面都很重要。这不是一个关于人工智能取代安全研究人员的案例——该利用程序需要将严重的人类专业知识叠加在模型输出的结果之上。但这也不是无关紧要的。Mythos 缩小了搜索范围，发现了漏洞，并为研究人员提供了一个起点，而若仅靠他们自己，达到这个起点将花费更长的时间。这种组合发现了苹果遗漏的东西。 ## **不可避免的记录** 在 Calif 走进苹果总部之前，Mythos 已经发现了一个存在 27 年未被检测到的 OpenBSD 漏洞。它还在 Linux 中发现了可被利用的弱点，这些弱点多年来人类研究人员曾路过却未曾察觉。 这不是巧合或幸运的发现。这是一个模式。而这正是 Anthropic 不愿公开发布该模型的原因——因为它足够稳定地有效，以至于将其交到错误的人手中是一个真正严肃的考虑。 在这种背景下，Anthropic 为 Project Glasswing 承诺的 1 亿美元信用额度开始变得更有意义。这是一种从 Anthropic 无论是否将其商业化都存在的某种能力中提取真正防御价值的尝试。让苹果和谷歌用这个工具发现自己的漏洞，总好过猜测还有谁会先发现这些漏洞。 ##### **你可能喜欢：**OpenMythos: 最接近 Claude Mythos 的可运行版本（且开源）(https://firethering.com/openmythos-open-source-claude-mythos-reconstruction/) ## **这给行业其他部分带来的问题** 40 个组织拥有 Mythos 的受控访问权限。而安全研究领域的其他部分则没有。 这个差距将会扩大。如果一个受到严格访问控制的模型已经能在最受关注的那些代码库中发现存在数十年的错误，那么自然会引发一个问题：当类似的能力变得更加广泛可用时会发生什么？无论是因为 Anthropic 最终放松了访问权限，竞争对手发布了类似产品，还是不那么道德的参与者通过不同途径朝着同一目标前进。 Calif 的 CEO 认为苹果会很快修补这些漏洞。这可能是真的。但更持久的问题不是关于这两个特定的漏洞，而是当这种能力不再稀有时，安全研究领域会变成什么样。 那 55 页的报告目前正放在库比蒂诺的一张桌子上。完整的技术细节要到苹果发布补丁后才会公布。届时，这将成为 AI 辅助漏洞研究在实际应用中的最清晰记录案例之一——在一个真实操作系统中发现两个真实的漏洞，而在此之前，直到一个 Anthropic 不愿让公众接触的模型帮忙寻找，才有人发现它们。