文章总结： 研究人员在macOS26.0系统的AppleIntelligence服务中发现令牌安全漏洞（CVE-2025-43509），攻击者可通过Serpent技术窃取存储在钥匙串中的TGT和OTT令牌，并在其他设备上滥用服务导致配额耗尽或服务中断。漏洞源于令牌未与硬件绑定且无法及时撤销，苹果在26.2更新中将令牌移至iCloud钥匙串但仍存在绕过风险，建议采用硬件加密绑定解决方案。 综合评分： 82 文章分类： 漏洞分析,移动安全,云安全,应用安全,威胁情报

苹果AI令牌漏洞曝光，窃取者可跨设备滥用服务

FreeBuf

2026年4月23日 18:03 上海

在小说阅读器读本章

去阅读

#

Part01

服务架构设计

苹果公司宣称，其操作系统内置的生成式AI服务Apple Intelligence通过采用匿名访问令牌的双阶段认证授权机制，特别注重用户安全与隐私保护。但俄亥俄州立大学研究人员在macOS 26.0（Tahoe）系统上发现，该设计存在可导致令牌被窃取并重复利用的安全漏洞。

该系统通过私有云计算（PCC）框架将复杂请求卸载至云端服务器处理，采用Privacy Pass协议下的两种凭证：设备首先向身份验证服务证明其苹果硬件真实性，获取长期有效的令牌授予令牌（TGT）；随后用TGT兑换批量单次使用的一次性令牌（OTT）来授权AI请求。为保护隐私，流量经由Oblivious HTTP（OHTTP）中继代理传输，可向苹果隐藏IP地址等元数据。

Apple Intelligence认证协议（来源：研究论文）

Part02

漏洞发现

研究人员在macOS 26.0系统中发现，TGT和OTT以明文形式存储在登录钥匙串中，任何具有标准用户权限的应用程序均可访问。由于系统设计优先考虑匿名性，令牌未与物理硬件绑定，且缺乏验证令牌原始接收设备的方法，这些凭证实际成为”持有者令牌”。一旦泄露，用户无法撤销令牌，需等待数日后自动失效。

Part03

Serpent攻击手法

研究人员开发出名为Serpent的攻击技术，通过两个阶段突破凭证”不可转移”的设计：

• 提取阶段：植入受害者Mac的恶意软件通过SecItemCopyMatchingAPI或**/usr/bin/security**工具查询钥匙串，触发系统权限弹窗（假设用户点击”允许”）
• 伪装阶段：攻击者将窃取的令牌写入本地钥匙串后，其设备即可伪装成受害者发起服务请求

Part04

实际影响

在macOS 26.0上的测试证实：

• 被限流的设备通过导入受害者令牌可立即恢复服务访问
• 攻击者可利用窃取的TGT反复兑换并丢弃OTT，耗尽受害者每日配额，使其设备显示”Apple Intelligence当前不可用”的伪服务中断提示
• 由于OHTTP中继隐藏IP地址，服务商无法追踪攻击源

该漏洞还可能导致Apple Intelligence服务被移植到Linux等平台，作为通用AI服务转售。

Part05

修复措施

苹果已为此漏洞分配编号（CVE-2025-43509）并发放漏洞赏金。macOS 26.2更新将令牌存储位置改为iCloud钥匙串，需通过系统内核权限检查才能访问。但研究人员指出，该方案仍可通过内核扩展或内存调试绕过，建议采用加密硬件绑定作为根本解决方案。

参考来源：

Apple Intelligence flaw kept stolen tokens reusable on another device

Apple Intelligence flaw kept stolen tokens reusable on another device

推荐阅读

电报讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《苹果AI令牌漏洞曝光，窃取者可跨设备滥用服务》