最近、ウォールストリートジャーナルは、セキュリティ専門家がAnthropic社の最強AIモデル「Claude Mythos」を使用して、AppleのmacOS 26.4.1システムにおける特権昇格の脆弱性を成功裏に発見したと報道しました。この技術革新は、情報セキュリティ分野に新たな知見をもたらし、特にオペレーティングシステムのセキュリティ保護において重要な意味を持っています。

image.png

セキュリティ会社Califの研究者たちは、今回の攻防実験において、通常のローカルアカウントから出発し、2つのシステムの脆弱性を分析・応用することで、最終的にシステムの最高権限であるroot shellを取得しました。この権限により、攻撃者は高権限コマンドを直接実行でき、システム設定を自由に変更したり、制限されたディレクトリにアクセスしたり、後門を埋め込んで継続的な制御を行うことが可能になります。

この攻撃は、Appleが新世代のApple Siliconデバイスに導入したMemory Integrity Enforcement(メモリ整合性強制、略称MIE)の保護機構を回避しました。MIEは、セキュリティを強化するために導入されたハードウェアレベルの保護であり、メモリ内の潜在的な攻撃手段を制限し、脆弱性の利用可能性を低減することを目的としています。

研究チームは、この攻撃が単一の脆弱性に依存しているわけではないことを強調しています。これは、さまざまなテクニックや既知の脆弱性タイプを組み合わせ、Claude Mythosモデルの支援によって研究プロセスを加速したものでした。チームは4月下旬に問題を発見し、約5日間の努力を経て、この特権昇格チェーンを構築しました。その過程で、研究者とAIの協働は研究の効率と正確性を大幅に向上させました。

この脆弱性を発見したにもかかわらず、研究チームはApple社が関連する問題をまだ審査中であるため、具体的な脆弱性番号や利用コード、完全な技術報告書は公開されていません。彼らは、Apple社に迅速に通知することで、メーカーが早急に脆弱性を修正し、ユーザーのセキュリティを保護できるようにすることを望んでいます。

ポイント:  

🔍 専門家がAIモデルを利用してApple macOSの特権昇格の脆弱性を発見しました。  

🔒 攻撃者は2つの脆弱性を通じてシステムの最高権限を獲得し、MIE保護を回避しました。  

🤖 AIと人間の研究者の協働は、脆弱性の認識および利用効率を著しく向上させました。