ИИ-модель Mythos помогла пробить защиту M5 за пять дней

Apple потратила около пяти лет и, по разным оценкам, миллиарды долларов на одну-единственную задачу: убить целый класс атак, который десятилетиями кормил создателей шпионского софта и взломщиков iPhone. Защита называется Memory Integrity Enforcement, и компания преподносила её как рубеж, за которым старые приёмы перестают работать. Небольшая команда исследователей собрала рабочий обход этого рубежа за пять дней. Помогала им экспериментальная модель Anthropic под названием Claude Mythos Preview, доступная пока лишь узкому кругу партнёров. История получилась показательной не тем, что "ИИ взломал Apple", а тем, как именно распределились роли между машиной и людьми.

Что на самом деле произошло с защитой Memory Integrity Enforcement

Сразу стоит развеять самую соблазнительную трактовку. Никто не получил доступ к чужому маку через интернет и не залез в память устройства из ниоткуда. Речь идёт о локальном повышении привилегий: атака стартует с обычной непривилегированной учётной записи на компьютере с чипом M5 под macOS 26.4.1 и через цепочку из двух уязвимостей доходит до root, полного контроля над системой. То есть злоумышленнику сначала нужно как-то выполнить свой код на машине - через фишинг, вредоносную загрузку или скомпрометированную сессию браузера. Дальше уже работает эксплойт, который проводит этого пользователя по лестнице прав до самого верха.

Команда из фирмы Calif описала результат как первый публично продемонстрированный эксплойт повреждения памяти ядра macOS на кремнии M5. Цепочка использует только штатные системные вызовы и работает на железе с включённой защитой MIE. Получив права root, атакующий может читать любые файлы, отключать средства защиты, ставить устойчивый зловред и дотягиваться до всего, до чего достаёт сам компьютер. Звучит сухо, итог неприятный.

Почему именно эта защита считалась почти непробиваемой

Чтобы оценить масштаб, надо понять, что такое MIE и откуда у неё репутация. Защита построена на технологии Memory Tagging Extension, спецификации от ARM, которую придумали ещё в 2019 году как инструмент для отлова ошибок работы с памяти на аппаратном уровне. Идея элегантная до изящества. Каждому кусочку памяти размером в шестнадцать байт присваивается секретная четырёхбитная метка. Указатель, который имеет право обращаться к этому кусочку, несёт ту же метку. Кремний физически блокирует любое обращение, где метка указателя не совпадает с меткой памяти, и фиксирует событие.

Смысл в том, чтобы разом обезвредить целый класс уязвимостей: переполнения буфера, обращения к уже освобождённой памяти и прочие болезни, которые тридцать лет служили фундаментом для самых изощрённых атак на iOS и macOS. Apple утверждала, что MIE срывает все известные публичные цепочки эксплойтов, включая недавно утёкшие наборы инструментов взломщиков. Сначала защита появилась в iPhone 17 и чипе A19, затем перекочевала в M5, на котором работают свежие MacBook. Барьер задумывался как принципиальный, а не косметический.

Каким приёмом исследователи обошли барьер с метками памяти

Самое любопытное в том, что цепочку не пробивали в лоб. Атаковать саму систему меток дело почти безнадёжное, поэтому исследователи пошли в обход. Их эксплойт относится к классу data-only, то есть атак, работающих только с данными, а не с указателями. Проверка меток MIE стережёт целостность указателей, следит, чтобы они вели туда, куда положено. Но если не трогать указатели вовсе, а аккуратно подменять значения в служебных полях структур ядра, отвечающих за права процесса, охранник у ворот просто не видит нарушителя. Повышение привилегий происходит без прямой схватки с проверкой метки.

Этот нюанс объясняет, почему многие специалисты по безопасности считали такой обход вопросом долгих месяцев работы, а не нескольких дней. Подмена данных вместо борьбы с тегами - приём не новый по замыслу, но провернуть его против лучшей на рынке аппаратной защиты, да ещё уложиться в неделю, мало кто считал реальным. Одно дело знать направление, другое собрать рабочую цепочку.

Где здесь заканчивается заслуга нейросети и начинается работа человека

Calif была подчёркнуто честна насчёт того, что сделала модель, а чего не делала. Mythos Preview не изобретала новых приёмов атаки и не строила цепочку самостоятельно. Сильная сторона модели в обобщении: однажды научившись атаковать определённый класс задач, она переносит навык почти на любую проблему того же класса. Уязвимости в ядре macOS относились к известным классам ошибок работы с памятью, документированным в исследованиях с девяностых годов, поэтому модель распознала их быстро. По собственным словам команды, Mythos помогла найти баги и сопровождала разработку эксплойта, ускоряя цикл.

А вот самое трудное - обход непосредственно MIE - осталось делом человеческих рук. Новую первоклассную защиту автоматически не перехитришь, и здесь в игру вступила экспертиза трёх специалистов. Хронология разработки выглядит почти будничной: один исследователь нашёл баги двадцать пятого апреля, через два дня к нему присоединился коллега, третий собрал инструментарий, и к первому мая рабочий эксплойт был готов. Урок не в том, что искусственный интеллект захватил Apple, а в том, что у сильных наступательных исследователей появился второй мозг, ускоренная петля проб и куда больше попыток за единицу времени. Маленькая команда теперь делает то, что раньше требовало большой и хорошо финансируемой организации.

Что уже исправлено и стоит ли беспокоиться владельцам MacBook

Раскрывать полные технические детали Calif намеренно не спешит: пятидесятипятистраничный отчёт опубликуют только после того, как Apple закроет уязвимости и сам путь атаки. Сообщили о находке тоже нестандартно - вместо очереди в программе вознаграждений за баги исследователи привезли распечатанный доклад прямо в штаб-квартиру в Купертино, чтобы не теряться в потоке заявок. Apple подтвердила, что относится к материалам серьёзно.

Часть работы уже отразилась в обновлениях. В заметках о безопасности macOS Tahoe 26.5 упоминается уязвимость ядра, исправленная при участии Calif совместно с Claude и подразделением исследований Anthropic, под идентификатором, который на первый взгляд выглядит как обычный сбой с неожиданным завершением системы. Формулировка скромная, суть серьёзнее. При этом класс атак через данные одним патчем не лечится: понадобится переосмыслить распределитель памяти ядра, добавить семантическую проверку чувствительных полей в структурах процессов и, возможно, расширить саму MIE контрольными суммами на привилегированные поля. Ресурсы для этого у компании есть, а полноценное решение вероятно придёт в следующем поколении кремния.

Рядовому владельцу мака паниковать рано, но и расслабляться повод сомнительный. Атака требует, чтобы вредоносный код уже выполнялся на машине, поэтому базовая гигиена остаётся главной защитой: обновить систему до 26.5 или новее через настройки, включить автоматические обновления и ставить приложения только из проверенных источников. Сама же история тянет на нечто большее, чем разовый инцидент. Когда модели всё лучше вытаскивают неизвестные баги известных классов, даже образцовая аппаратная защита получает всё более узкое окно эффективности. Apple строилась в мире, где таких помощников у атакующих не было. Этот эпизод намекает, что расчёты в области аппаратной безопасности уже начали меняться.