LLM-ассистированный эксплойт: Предварительная версия Mythos от Anthropic помогла создать первый публичный эксплойт ядра macOS на Apple M5 за пять дней

✍️ OpenClawRadar📅 Опубликовано: 17 мая 2026 г.🔗 Source
LLM-ассистированный эксплойт: Предварительная версия Mythos от Anthropic помогла создать первый публичный эксплойт ядра macOS на Apple M5 за пять дней
Ad

Фирма по безопасности Calif опубликовала отчет, в котором подробно описано, как Anthropic Mythos Preview помог им создать первый публичный эксплойт повреждения памяти ядра macOS на кремнии Apple M5 — всего за пять дней. Эксплойт нацелен на macOS 26.4.1 на голом железе M5 с включенной защитой целостности памяти ядра (MIE).

Ad

Ключевые детали

  • Тип эксплойта: Повышение локальных привилегий (LPE) с использованием только данных
  • Цель: macOS 26.4.1 на Apple M5 с включенной MIE ядра
  • Хронология: Брюс Данг нашел ошибки 25 апреля, Дион Блазакис присоединился 27 апреля, Джош Мейн создал инструментарий, рабочий эксплойт к 1 мая — всего пять дней
  • Apple MIE: Пять лет разработки аппаратного и программного обеспечения для предотвращения эксплойтов повреждения памяти; обойдена за пять дней с помощью LLM
  • Mythos Preview обобщает: Как только он изучил класс ошибок, он нашел подобные ошибки на совершенно новых аппаратных целях

В отчете Calif говорится: «Apple потратила пять лет на создание аппаратного и программного обеспечения, чтобы сделать эксплойты повреждения памяти значительно сложнее. Наши инженеры, работая вместе с Mythos Preview, создали рабочий эксплойт за пять дней». Они также отмечают: «Mythos Preview обладает огромной мощью: как только он научился атаковать класс проблем, он обобщается практически на любую проблему в этом классе».

Согласно комментариям на Hacker News, Mythos Preview не является общедоступным; он ограничен доверенными организациями в рамках так называемого «Project Glasswing». Calif, по-видимому, является одним из доверенных тестировщиков, ранее проводивших пентесты для Anthropic. Apple получила полный отчет (лазерная печать, доставлен лично в Apple Park). Технические детали будут опубликованы после того, как Apple выпустит исправление.

Это событие знаменует собой важную веху в использовании инструментов на основе LLM для исследований в области наступательной безопасности, демонстрируя, что ИИ может ускорить разработку эксплойтов против современных аппаратных защит. Для разработчиков и исследователей безопасности это подчеркивает необходимость пересмотреть допущения о доверии даже к механизмам безопасности, поддерживаемым аппаратно.

📖 Прочитать полный источник: r/ClaudeAI

Ad

👀 Смотрите также

Уязвимости безопасности OpenClaw: Критические недостатки фреймворка устранены в версии 2026.3.28.
Безопасность

Уязвимости безопасности OpenClaw: Критические недостатки фреймворка устранены в версии 2026.3.28.

Лаборатория безопасности Ant AI выявила 33 уязвимости в базовом фреймворке OpenClaw, из которых 8 критических проблем были исправлены в релизе 2026.3.28. Уязвимости включают обход песочницы, повышение привилегий, сохранение сессии после отзыва токена, риски SSRF и деградацию списка разрешений.

OpenClawRadar
Надежно установите OpenClaw на VPS с помощью Tailscale и других инструментов.
Безопасность

Надежно установите OpenClaw на VPS с помощью Tailscale и других инструментов.

Пользователи OpenClaw, ищущие безопасную настройку для самостоятельного размещения, должны рассмотреть эти меры для повышения безопасности и минимизации рисков. Настройка придает первостепенное значение безопасности, используя Tailscale для устранения прямого публичного доступа и внедрения стратегий многослойной защиты, таких как усиление SSH, <code>fail2ban</code> для защиты от атак методом подбора пароля, <code>UFW</code> для управления файрволом и обеспечение автоматических обновлений для вашей системы.

OpenClawRadar
Пробел в безопасности OpenClaw устранен спецификацией агентской доверенности (APOA).
Безопасность

Пробел в безопасности OpenClaw устранен спецификацией агентской доверенности (APOA).

Разработчик опубликовал открытую спецификацию под названием Agentic Power of Attorney (APOA), чтобы решить проблемы безопасности в OpenClaw, где агенты в настоящее время получают доступ к таким сервисам, как электронная почта и календарь, имея в качестве ограничений только инструкции на естественном языке. Спецификация предлагает разрешения для каждого сервиса, ограниченный по времени доступ, журналы аудита, отзыв прав и изоляцию учетных данных.

OpenClawRadar
Мошеннический инструмент Roblox и ИИ вызвали сбой платформы Vercel.
Безопасность

Мошеннический инструмент Roblox и ИИ вызвали сбой платформы Vercel.

Сообщается, что читерская программа для Roblox в сочетании с инструментом искусственного интеллекта вызвала полный сбой платформы Vercel, что привело к активному обсуждению на Hacker News с 66 баллами и 24 комментариями.

OpenClawRadar