AIMPACT повідомляє, 16 травня (UTC+8), згідно з моніторингом Beating, команда з безпеки Calif оголосила, що вони використали Mythos Preview модель від Anthropic, яка ще не була опублікована, і успішно створили перший відкритий ланцюг експлуатації вразливості пам’яті ядра macOS на пристроях з чипом M5. MIE (забезпечення цілісності пам’яті) — це флагманський механізм безпеки апаратного забезпечення, створений Apple для чипів M5 та A19, на який офіційно витратили п’ять років і мільярди доларів; його початковий задум не був абсолютною імунітетом від хакерських атак, а полягав у значному підвищенні вартості експлуатації для пом’якшення вразливостей пам’яті. Команда Calif від виявлення дефекту до завершення експлуатації витратила лише п’ять днів. Цей ланцюг атаки включає дві вразливості та кілька технологій, починаючи з звичайного локального користувача без привілеїв, використовуючи лише стандартні системні виклики, і в кінцевому підсумку отримала root-права на пристрої. Ця експлуатація є чисто даними, що керуються ядром, локальне підвищення привілеїв, спрямоване безпосередньо на пристрої з увімкненим механізмом MIE у macOS 26.4.1 на чистому апаратному забезпеченні. Модель Mythos добре справляється з швидким узагальненням після вивчення певного типу атак, допомагаючи команді швидко локалізувати дефекти, що належать до відомих класів вразливостей, а потім їх долають експертами для нових апаратних захистів. Цей злом підтвердив ефективність поєднання «AI виявляє вразливості + експерти обходять захисти», а також довів, що за допомогою великих моделей штучного інтелекту невеликій команді безпеки достатньо для того, щоб похитнути технічні бар’єри, створені великими компаніями за великі кошти. (Джерело: BlockBeats)

Переглянути оригінал

Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.

13 лайків

Нагородити
13
8
1
Поділіться

Прокоментувати

Додати коментар

LiquidityLullaby

· 5год тому

У майбутньому потрібно вказувати у звітах про вразливості «виявлено людиною» чи «виявлено штучним інтелектом»