文章总结： 安全研究团队Calif借助Anthropic的MythosAI模型，在5天内成功攻破苹果M5芯片的内存完整性防御系统MIE，实现了从普通用户到root权限的完整内核提权。该攻击证明即使开启硬件级安全防护，新型AI辅助工具仍能大幅压缩漏洞利用周期，凸显AI对安全攻防体系的颠覆性影响。苹果已收到55页漏洞报告并着手修复。 综合评分： 85 文章分类： 漏洞分析,AI安全,实战经验,恶意软件,安全工具

Mythos AI 五天内攻破苹果 M5 内存完整性防御，MIE 五年研发一夜归零

原创

DarkNavyOrg DarkNavyOrg

黑白之道

2026年5月17日 08:04 江西

在小说阅读器读本章

去阅读

导语：苹果用了五年时间，花了数十亿美元，打造了一套被认为是”不可绕过”的内核级内存安全系统 MIE。2025年9月，随着iPhone 17系列和M5芯片同时推出，MIE被苹果寄予厚望。

5月16日，安全公司Calif的博客宣布：他们带着一份55页的漏洞研究报告，亲自去了苹果总部苹果公园（Apple Park）——不是被请去喝茶，而是去呈交一份”MIE已被绕过”的完整报告。研究人员在5天内，借助Anthropic（Anthropic AI公司）的Claude Mythos（缪斯）AI模型辅助，完成了一个针对M5芯片上macOS 26.4.1系统的完整内核提权exploit。

这不是一次概念验证，而是一个从无特权的普通用户到root权限的完整攻击链——而且是在MIE内核安全模块完全启用的情况下完成的。

五分钟理解 MIE 攻防战（新手必读）

什么是 MIE（内存完整性执行）？

MIE（Memory Integrity Enforcement，内存完整性执行）是苹果在2025年推出的一套硬件级内存安全系统，构建在ARM处理器的MTE（内存标签扩展）之上。

它的原理类似给每个内存块贴防伪标签：当程序申请一块内存时，芯片会给它打上一个”秘密标签”；当程序读写这块内存时，芯片会检查它携带的标签是否匹配——如果不匹配，程序直接崩溃，且事件被记录下来。

这相当于给每块内存配了一把只有正确钥匙才能开的锁。攻击者即使找到了内存 corruption（数据损坏）漏洞，也无法利用——因为标签不匹配，芯片拒绝执行。

苹果对MIE寄予厚望，称之为能”颠覆所有公开的iOS exploit链”。到M5芯片时代，MIE已经从iPhone移植到了MacBook。

什么是 Mythos（缪斯）？

Mythos（缪斯）是Anthropic公司于2026年4月推出的AI安全模型，专门用于漏洞发现和exploit开发辅助。它被描述为”一旦学会了如何攻击某一类问题，就能将该能力泛化到该类问题的几乎所有变体上”。

换句话说：Mythos不只是扫描代码，它能理解漏洞的本质模式，然后在完全不同的代码中找到相同模式的漏洞。

发生了什么？

一支三人安全团队，借助AI辅助，在5天内完成了一个”被认为极难”的任务——攻破苹果MIE内存保护。

AI花费约3.5万美元的API调用费用。而同样级别的内核级漏洞在黑市上的价值在500万到1000万美元之间。

为什么重要？

MIE代表的是当前消费级设备最强大的硬件级安全防线。攻破它意味着：即使你有一台最新款的MacBook，运行最新的macOS，开启所有安全保护，一个掌握了内核漏洞的攻击者仍然可以从普通用户权限拿到root权限。

这不是”如果”，而是”已经被证明”。

名词速查表

| 术语 | 英文原文 | 中文解释 | | — | — | — | | MIE（内存完整性执行） | Memory Integrity Enforcement | 苹果的硬件级内存安全系统，基于ARM MTE，给每块内存打标签验证访问合法性。2025年随M5/A19推出。 | | MTE（内存标签扩展） | Memory Tagging Extension | ARM处理器2019年推出的规范，给每块内存分配一个”秘密标签”，硬件级验证访问合法性。 | | Mythos（缪斯） | Mythos | Anthropic于2026年4月推出的AI安全模型，专门辅助漏洞发现和exploit开发。比同类模型贵约5倍。 | | Anthropic | Anthropic | 美国AI安全公司，开发Claude系列大语言模型，Mythos是其安全专用模型。 | | 内核提权 | Kernel Privilege Escalation | 攻击者从普通用户权限获取内核/root权限的过程。拿到root权限=完全控制整台机器。 | | 内存损坏 | Memory Corruption | 程序错误地读写内存，导致程序行为异常或被攻击者利用。是所有高级 exploit 的基础漏洞类型。 | | data-only exploit | data-only exploit | 不注入可执行代码，而是操纵内存中的数据结构来改变系统行为。绕过了许多代码注入检测机制。 | | Calif | Calif | 安全研究公司，研究员为Bruce Dang、Dion Blazakis、Josh Maine。 | | Bruce Dang | Bruce Dang | Calif研究员，4月25日首先发现漏洞。 | | Dion Blazakis | Dion Blazakis | Calif研究员，4月27日加入研究。 | | Josh Maine | Josh Maine | Calif研究员，负责开发工具链。 | | Apple Park | Apple Park | 苹果总部，位于加利福尼亚州库比蒂诺。Calif团队于5月13日亲自前往递交漏洞报告。 | | Apple M5 | Apple M5 | 苹果第五代自研芯片，搭载MIE内存完整性防御。用于最新款MacBook。 | | macOS 26.4.1 | macOS 26.4.1 | 本次攻击的目标系统版本，构建号25E253。 | | Coruna exploit套件 | Coruna | 近期泄露的iOS exploit工具包，苹果认为MIE可以抵御它——直到本次攻击证明并非如此。 | | Darksword exploit套件 | Darksword | 另一套近期泄露的iOS exploit工具包。 | | XBOW | XBOW | 独立 offensive 安全公司，对Mythos进行了第三方评估。 | | LPE（本地提权） | Local Privilege Escalation | 攻击者从本地普通账户获取管理员/root权限。 | | root shell | root shell | 拥有系统最高权限的命令行界面。拿到root shell=完全控制机器。 | | NVMe | NVMe | 非易失性内存主机控制器接口规范，高速固态硬盘接口标准。 | | Intel（英特尔） | Intel | 美国芯片制造商，与苹果M系列芯片存在架构差异，相关攻击技术不能直接迁移。 |

第一章：MIE 防御体系——苹果的五年工程

为什么 MIE 被认为是”不可绕过”的

苹果的安全架构从硬件开始。MIE不是软件补丁，而是直接在芯片层面工作的内存保护机制。

传统的内存损坏exploit依赖两个步骤：

1. 触发一个内存 corruption 漏洞（比如缓冲区溢出）
2. 将恶意代码写入内存并执行

MIE在第一阶段就切断了这个链条——即使内存被损坏，硬件级别的标签检查会拒绝所有标签不匹配的访问，恶意代码根本无法被写入或执行。

苹果在自己的白皮书中写道，MIE”颠覆了每一款针对现代iOS的公开exploit链，包括Coruna和Darksword”——这两套工具包被认为代表了当前iOS exploit的最高水平。

MIE被移植到M5芯片的MacBook时，业界普遍认为：macOS上最强大的内存保护已经上线了。

五年研发，数十亿美元

MIE从研发到落地花了5年时间。这个数字意味着什么？苹果不是在修补一个漏洞，而是在重建底层的内存安全模型——从芯片规格到操作系统内核，从编译器到运行时，全栈改造。

这样一套系统，在理论上的”完成度”已经很高了。不是”不可被绕过”，而是”绕过它的成本远高于收益”。

问题是：这个成本估算，是在AI时代做出的。

第二章：5天攻破——完整的攻击时间线

第一天（4月25日）：意外发现

Bruce Dang在研究内核内存子系统时发现了一个异常行为。这不是一次有目标的MIE绕过研究——这是一个意外发现。漏洞本身属于已知的bug类别，但在MIE环境下是否仍然可利用，没有人知道。

第三天（4月27日）：团队加入

Dion Blazakis加入Calif，与Bruce Dang开始合作研究。一个漏洞不等于一条exploit链——MIE在中间挡着。

第五天（5月1日）：可用 exploit

Josh Maine完成了必要的工具链开发。团队有了一个完整的内核提权exploit，从普通用户到root shell，在MIE启用的M5硬件上工作。

5天。从意外发现到完整exploit。

关键说明

这不是”AI独立完成”的故事。Calif团队在博客中明确写道：”MIE是一个全新的顶级防护，所以自主绕过它可能很棘手。这就是人类专业知识发挥作用的地方。”

Mythos帮助团队：快速识别了漏洞类别（因为属于已知bug类别）、在exploit开发过程中持续辅助。但绕过MIE本身的创造性工作来自人类。

用Calif自己的话说：”将最好的AI模型与专家配对”——不是AI代替了人，而是AI与人配合，把原本需要数周甚至数月的工作压缩到了5天。

第三章：AI 在 exploit 开发中的角色

Mythos 做了什么

Calif团队在博客中描述了Mythos的具体作用：

快速漏洞识别：由于漏洞属于已知的bug类别，Mythos能够快速识别并定位相关代码区域。它不是在”随机碰运气”，而是在理解”这类bug通常在什么地方出现”之后，精准聚焦。

exploit开发全程辅助：在exploit开发过程中，Mythos帮助团队理解内核数据结构和攻击面。它不是一次性工具，而是持续参与的协作者。

Mythos 没有做什么

MIE的绕过本身仍然需要人类专家的手动分析和创造性工作。MIE是”全新的顶级防护”，AI还不能完全自主绕过它。

这个分工非常重要——它定义了AI在安全领域的当前能力边界：

• 在已知模式的漏洞发现上：AI表现极强
• 在需要绕过新型防护的创新性exploit开发上：人类仍然是主力

成本与价值

Calif团队使用Mythos API的费用约为3.5万美元。

同样级别的内核级漏洞在黑市上的价格是多少？500万到1000万美元。

一个3.5万美元的AI辅助工具，帮助一支小团队在5天内完成了一个价值数百万美元的exploit。这个对比数字本身，就说明了AI对安全攻防平衡的冲击有多大。

第四章：苹果的回应与行业震动

苹果公园之行

5月13日，Calif团队亲自前往库比蒂诺的苹果公园，向苹果安全团队递交了55页详细漏洞报告。苹果确认收到报告，正在审查。

值得注意的是，苹果对此事的公开报道态度低调——官方尚未发布安全公告或补丁时间表。可以推断苹果正在内部修复，不希望细节过早公开。

行业评价

安全媒体对此事的反应分为两个方向：

正面：Calif团队在5天内完成了一个被认为极难的MIE绕过，无论AI是否参与，这个结果本身都是 impressive 的。它证明小型安全团队借助AI工具，已经具备挑战全球最强大安全厂商的能力。

审慎：SecurityWeek的独立评估指出，Mythos在漏洞发现方面能力强大，但在exploit验证和判断方面表现”更微妙”——它能找到候选漏洞，但”找到的某样东西不等于全部东西”。XBOW的评估结论是：”Mythos在源码审计方面极强，在exploit验证方面也不错，但需要精确的提示词才能发挥最佳效果。”

Mythos 的其他战绩

2026年4月至今，Mythos已被记录的战绩包括：

• 发现Nginx 18年未发现的RCE漏洞（CVE-2026-42945，Nginx Rift）
• 发现FreeBSD NFS服务器17年漏洞（CVE-2026-4747），允许未认证攻击者远程获取root
• 协助Mozilla扫描Firefox代码库，发现并修复271个安全漏洞
• 攻破苹果M5的MIE防御（本次）

尾声：AI 时代的攻防逻辑正在被重写

苹果花5年、数十亿美元建造的MIE，在AI+人类专家的5天内被突破。这不是苹果做错了什么——MIE的设计逻辑是正确的，工程实现是高质量的。问题在于攻防速度的重新校准：

• 以前：绕过一个新的硬件级防护需要数月甚至数年的研究
• 现在：AI辅助下可能只需要数天

苹果的MIE是在”AI之前的世界”里建造的。正如Calif团队所说：”我们即将了解地球上最好的防护技术在第一次AI漏洞海啸中表现如何。”

版权声明：本文由华盟网原创发布，保留所有权利。

👇 点击阅读原文，访问我的网站

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑白之道 DarkNavyOrg DarkNavyOrg《Mythos AI 五天内攻破苹果 M5 内存完整性防御，MIE 五年研发一夜归零》