Apple M5: ИИ-ассистент помог обойти аппаратную защиту памяти за пять дней
- Группа Calif продемонстрировала первый публичный эксплойт ядра macOS на чипах Apple M5, обходящий аппаратную защиту памяти Memory Integrity Enforcement (MIE) — флагманскую функцию безопасности, на которую Apple потратила пять лет и миллиарды долларов.
- Атака — это локальное повышение привилегий (LPE): из-под обычного пользователя в macOS 26.4.1 одной цепочкой команд получается root-shell, без удалённой составляющей и без какого-либо «нестандартного» поведения программ.
- На разработку рабочего эксплойта ушло пять дней — благодаря закрытой ИИ-модели Mythos Preview от Anthropic, доступ к которой исследователи получили в рамках альянса Project Glasswing.
- Apple уведомили заранее, лично, в Купертино. Технические подробности раскроют только после выхода патчей. Но сам факт пяти дней против пяти лет защиты — главный сигнал индустрии.
Исследовательская группа Calif опубликовала обзор первого публичного эксплойта ядра macOS, который работает на «голом железе» Apple M5 при включённой Memory Integrity Enforcement (MIE) — аппаратной защите памяти, которую Apple позиционирует как ключевое нововведение M5 и A19. Цепочка превращает непривилегированного локального пользователя в root, не вступая в прямой бой с тегами MIE, а аккуратно обходя их по «соседней дорожке». Цена этого обхода — пять дней работы трёх человек и одна закрытая ИИ-модель.
Источник изображения — Getty Images
Что такое MIE и почему Apple на неё ставила
Memory Integrity Enforcement — это аппаратная подсистема безопасности, дебютировавшая на iPhone 17, iPhone Air и Mac на чипе M5 (а также на A19). Она построена поверх стандарта ARM Memory Tagging Extension (MTE) 2019 года и существенно его расширяет.
Если упростить: MIE привязывает к каждому 16-байтовому фрагменту памяти 4-битную «метку» (тег) и одновременно записывает такую же метку в указатели, которые имеют право обращаться к этому фрагменту. Любая операция чтения или записи проверяется кремнием в реальном времени: если метка указателя не совпадает с меткой памяти — обращение блокируется, а событие логируется. Реализация — на уровне, близком к гипервизорному, с минимальными накладными расходами (по заявлениям Apple — около 3% по памяти и почти без падения производительности).
В теории это закрывает целые классы уязвимостей, на которых годами держалась индустрия эксплойтов: переполнение буфера, use-after-free, type confusion, путаница указателей при работе с кучей. Apple вкладывалась в эту защиту около пяти лет именно потому, что software-only защита памяти давно проигрывает атакам государственного уровня. На M5 MIE должна была изменить экономику взлома.
Что именно сломали в Calif
Описание эксплойта от самих авторов выглядит обманчиво коротким. Они называют его «data-only kernel local privilege escalation chain»: цепочка из двух уязвимостей в ядре macOS 26.4.1 (билд 25E253), которая использует только стандартные системные вызовы, стартует из учётной записи без привилегий и в финале выдаёт shell с правами root.
Ключевое слово здесь — data-only. Обычно эксплойты ядра ломают указатели — и именно эту атаку MIE и душит на корню: подменили указатель — метки не совпали — система остановила обращение. Calif пошли в обход: их цепочка вообще не трогает операции, за которыми MIE следит. Атака манипулирует не указателями, а самими данными ядра — в частности, структурами с учётными признаками процесса, — и в результате повышает привилегии «снаружи» зоны видимости проверок памяти.
MIE, строго говоря, и не претендует на полную защиту от data-only LPE — это признаётся в собственной документации Apple. Но индустрия до этой недели считала, что найти и собрать такую атаку на свежем кремнии займёт месяцы. Calif закрыли вопрос за неделю.
Хронология: от двух багов до рабочего эксплойта за пять дней
График событий, опубликованный самой группой, выглядит так:
- 25 апреля 2026 года. Брюс Данг находит две уязвимости в ядре macOS 26.4.1.
- 27 апреля. К проекту присоединяется Дион Блазакис — известный исследователь, незадолго до этого ушедший из Apple.
- 1 мая. Джош Мэйн собирает инструментарий, и команда получает рабочую цепочку эксплойтов на «голом» M5 с активной MIE.
- Май 2026. Calif лично приезжают в Apple Park и отдают 55-страничный отчёт в распечатанном виде — намеренно, чтобы документ не «утонул» в общей очереди репортов вроде той, что бывает после Pwn2Own.
Полные технические подробности будут опубликованы только после того, как Apple выпустит патчи. Apple на запрос комментариев ответила стандартной формулировкой: «Безопасность — наш высший приоритет, мы относимся к сообщениям о потенциальных уязвимостях очень серьёзно».
Mythos Preview: что добавил ИИ
Главная сенсация — не в самом эксплойте, а в том, что между двумя багами и рабочей цепочкой стоит ИИ. Calif открыто говорят, что использовали Anthropic Mythos Preview — закрытую, ещё не выпущенную в публичный доступ модель, анонсированную 7 апреля 2026 года в рамках альянса Project Glasswing.
В Glasswing вошли AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA и Palo Alto Networks — формально для скоординированного использования модели «в защиту критически важного ПО». Парадоксальным образом первый громкий публичный кейс Mythos оказался не оборонительным, а наступательным — и именно против одного из участников альянса.
Сами исследователи аккуратны в формулировках и не приписывают всё ИИ. Mythos, по их словам, «быстро находит ошибки известных классов» — потому что хорошо понимает, как такие баги выглядят в коде ядра. Но проектирование самой обходной техники, цепочки и инструментария — это работа людей. Цитата команды: «Часть нашей мотивации была — проверить, что возможно, когда лучшие модели соединяются с экспертами. Уложить корпсию памяти ядра против лучшей защиты в неделю — это о чём-то говорит».
Calif прямо называют это началом эпохи «AI bugmageddon»: небольшие команды с доступом к фронтиру могут добиться того, что раньше требовало бюджета крупных государственных структур.
Контекст: тяжёлый месяц для безопасности всех трёх крупных ОС
На фоне Apple последние недели выдались плохими и для двух других крупнейших платформ.
Linux. В конце апреля исследователи Theori раскрыли уязвимость CopyFail (CVE-2026-31431) — локальное повышение привилегий до root через крипто-API ядра (AF_ALG-сокеты) и системный вызов splice(), позволяющее писать четыре байта за раз прямо в страничный кэш чужих файлов. Не успели дистрибутивы прикрыть один фронт — 8 мая Hyunwoo Kim (@v4bel) опубликовал Dirty Frag (CVE-2026-43284 и CVE-2026-43500), цепочку из двух багов в подсистемах xfrm-ESP (IPsec) и RxRPC, также дающую немедленный root «на всех основных дистрибутивах». Чуть позже выяснилось, что в той же области сидит ещё одна уязвимость — Fragnesia (CVE-2026-46300). Все три эксплуатируют zero-copy-логику ядра и реализованы тривиально (хватает Python со стандартной библиотекой).
Windows. Параллельно исследователь под псевдонимами Chaotic Eclipse / Nightmare-Eclipse (предположительно бывший сотрудник Microsoft, вышедший из конфликта с компанией) выложил подряд несколько 0-day. В апреле — BlueHammer (CVE-2026-33825), RedSun и UnDefend против Microsoft Defender. 12–13 мая — YellowKey, обход BitLocker через файлы в Windows Recovery Environment (WinRE) на Windows 11 и Server 2022/2025, и GreenPlasma, повышение привилегий до SYSTEM через CTFMON (полную цепочку до SYSTEM-shell автор намеренно недописал, оставив это «вызовом для любителей CTF»).
То есть в одну и ту же неделю с Apple-сюжетом мир получил публичные эксплойты под Linux без патчей и BitLocker-bypass под Windows без CVE. Картина для администраторов сложилась некрасивая.
Что это значит на практике
Сам по себе эксплойт Calif против M5 ограничен по применимости: Mac редко работают как серверы, для атаки требуется локальное выполнение кода на машине жертвы. Большая часть сценариев сводится к тому, что пользователя нужно сначала уговорить запустить вредоносную программу. Но если это удалось — дальше получается полный контроль над системой, который очень сложно обнаружить и выкорчевать стандартными средствами.
Куда важнее идеологический сдвиг, который зафиксирован в этой истории. Аппаратная защита класса MIE была медленным, дорогим, фундаментальным шагом со стороны Apple — и она работает. Но «работает» в том смысле, что закрывает целый класс атак, не закрывая все атаки в принципе. ИИ-ассистенты, способные за дни просматривать ядра современных ОС в поисках ошибок известных классов, резко сокращают окно, в котором даже лучшие аппаратные защиты остаются непреодолимыми для маленьких команд.
Apple предупреждена. Патч, по всей вероятности, выйдет в ближайшем обновлении macOS — после чего Calif обещают опубликовать полный технический разбор. На фоне Project Glasswing и общего тренда индустрии вопрос уже не «нужно ли встраивать ИИ в безопасность», а «кто и как быстро встроит его первым — атакующая или защищающая сторона».
