Apple crédite officiellement Claude sur deux CVE macOS dans son bulletin de mai 2026
Le 11 mai 2026, l'avis de sécurité Apple pour macOS Tahoe 26.5 cite Claude aux côtés de ses chercheurs sur deux CVE — un dépassement d'entier dans le kernel et un use-after-free WebKit. La recherche de vulnérabilités assistée par IA entre dans le changelog officiel.
De quoi s’agit-il ?
Le 11 mai 2026, Apple a publié le contenu de sécurité de macOS Tahoe 26.5, iOS/iPadOS 18.7.9, macOS Sequoia 15.7.7, macOS Sonoma 14.8.7 et Safari 26.5. Deux entrées de ce bulletin sortent de l’ordinaire : leur ligne de remerciement nomme un modèle, pas seulement une personne.
Kernel — CVE-2026-28952 : « An integer overflow was addressed with improved input validation. Calif.io in collaboration with Claude and Anthropic Research. »
WebKit — CVE-2026-28942 (Bugzilla 312180) : « A use-after-free issue was addressed with improved memory management. Milad Nasr and Nicholas Carlini with Claude, Anthropic. »
Deux CVE dans le même cycle de publication, toutes deux créditant formellement Claude aux côtés des chercheurs humains qui l’ont utilisé. C’est ce point précis que nous traitons ici — pas tant pour les bugs eux-mêmes (un dépassement d’entier et un use-after-free ; les correctifs relèvent de la validation d’entrées et de la gestion mémoire) que parce que le changelog d’un éditeur devient un artefact de la recherche assistée par IA. La découverte côté kernel provient de la chaîne d’exploitation de cinq jours réalisée par Calif.io sur Apple M5, construite avec l’aide du modèle restreint Claude Mythos sous Project Glasswing.
Comment ça marche
Le « comment » porte ici sur la méthode de travail, pas sur l’exploit. Aucun payload n’est reproduit — les références canoniques sont le texte du bulletin Apple, la fiche NVD de CVE-2026-28952 et le rapport technique de 55 pages remis en main propre à Cupertino par Calif.io (couverture 9to5Mac).
La forme de la collaboration, telle que la décrivent les participants, ressemble à ceci :
Étape Humain Modèle
--------------------------- --------------------------- -----------------------------------
Cartographie de surface Choisit le sous-système Synthétise la surface d'attaque
cible (kernel, WebKit) à partir des sources publiques
Rappel de patrons Formule la classe de bug Reconnaît la classe (overflow,
à rechercher UAF) et pointe les chemins de
code candidats
Triage des candidats Revoit les correspondances Propose des repros minimales
Chaînage d'exploit Compose la chaîne de Propose pivots et primitives
primitives auxiliaires
Rédaction du rapport Rédige le write-up Pré-rédige des sections, raffine,
recoupe les références
Divulgation à l'éditeur Livre le rapport (ici en —
main propre)Deux remarques sur ce partage des rôles. D’abord, les classes de bugs sont anciennes — overflows d’entiers et UAF figurent dans toutes les taxonomies de vulnérabilités depuis trente ans. Ce que le modèle apporte, selon Calif.io, est une vitesse de reconnaissance sur une cible dont la surface est large et où les gains à trouver le bon chemin kernel sont concentrés. Ensuite, l’humain dans la boucle n’est pas optionnel. La chaîne qui a transformé la découverte kernel en exploit fonctionnel contre la Memory Integrity Enforcement d’Apple a été assemblée par des chercheurs expérimentés ; le modèle a été un multiplicateur de force sur la moitié découverte, pas un attaquant autonome.
La CVE WebKit CVE-2026-28942 suit le même schéma à plus petite échelle. Milad Nasr et Nicholas Carlini — noms bien connus de la recherche en ML adverse — ont utilisé Claude pour faire émerger un use-after-free dans la gestion des plantages de processus WebKit, divulgué à Apple et corrigé dans Safari 26.5 le 13 mai 2026.
Pourquoi ça compte
Les bugs sont corrigés. L’histoire vient ensuite.
Le premier changement est la provenance dans le changelog. Les avis éditeurs ont déjà crédité des outils (fuzzers, analyseurs statiques, sondes matérielles), mais toujours implicitement via l’équipe qui les opère. Une ligne « X avec Claude, Anthropic » fait du modèle un contributeur de recherche explicite dans un document public et passé au peigne juridique. Sur les douze prochains mois, attendez-vous à voir plus de bulletins de grands éditeurs adopter cette forme. Si vous maintenez un pipeline de tracking CVE, votre parseur de noms de chercheurs va commencer à voir apparaître des noms de modèles.
Le deuxième changement est la compression du temps de découverte. La chronologie Calif.io — Bruce Dang repère les bugs le 25 avril, Dion Blazakis rejoint l’équipe le 27 avril, exploit fonctionnel le 1er mai — fait cinq jours du début à la chaîne fonctionnelle pour une classe de bug qui demande historiquement à une équipe senior plusieurs semaines. La bonne comparaison n’est pas « l’IA fait ce que les humains font » mais « le délai entre l’émergence d’une classe de bug et le premier exploit crédible déposé dans la file d’un éditeur se réduit ». Les SLA de patching des composants kernel et navigateur doivent absorber cela, et pas seulement chez Apple.
Le troisième changement est l’asymétrie d’accès. Le modèle qui a fait ce travail — Claude Mythos Preview — n’est pas en disponibilité générale ; il est attribué via Project Glasswing à une cinquantaine d’organisations vérifiées. Apple en fait partie. Mozilla aussi, où le même modèle a contribué aux 271 vulnérabilités latentes corrigées dans Firefox 150. Pour les défenseurs hors du programme, le journal de divulgation est la seule fenêtre sur ce qu’une IA offensive de pointe fait réellement sur votre stack. Lisez-le en conséquence.
Défenses
Il n’y a rien à « corriger » au-delà de l’installation des mises à jour du 11 mai. Le playbook défensif porte sur la méthode, pas sur les patchs.
-
Patcher et inventorier. Confirmez le déploiement sur l’ensemble du parc de macOS Tahoe 26.5, macOS Sequoia 15.7.7, macOS Sonoma 14.8.7, iOS/iPadOS 18.7.9 et Safari 26.5. CVE-2026-28952 est un dépassement d’entier kernel menant à une terminaison inattendue du système ; CVE-2026-28942 est un UAF WebKit. Les deux font partie d’un lot de plus de 60 CVE dans la publication du 11 mai.
-
Recalibrer votre SLA de patching. Si votre cible interne pour les CVE de moteur navigateur et de kernel est encore « 30 jours après divulgation », ce chiffre a été fixé quand le rythme de découvertes crédibles était plus faible. Alignez les SLA kernel/navigateur sur ce que la recherche éditeur assistée par IA produit aujourd’hui — plus proche de 7 à 14 jours sur les actifs exposés à Internet, avec une voie hors cycle explicite pour les bugs en exploitation active.
-
Ajouter les crédits modèles à votre schéma de pipeline CVE. La plupart des codes d’ingestion CVE parsent les remerciements comme du texte libre. Un champ normalisé « outils IA cités » — Claude, Mythos, GPT-class, LLM interne — permet à votre équipe de corréler quelles classes de bugs sont remontées par IA contre méthodes classiques, et où votre propre stack d’analyse statique se fait dépasser en rappel.
-
Refléter la méthode côté défensif. Le pattern Calif.io / Anthropic (direction humaine, pattern-matching modèle, chaînage humain, divulgation humaine) est reproductible en blue team : triage de votre propre code à la recherche d’analogues non patchés de CVE divulguées, revue de montées de version de dépendances pour des classes de bugs connues, génération de repros minimales depuis un texte d’avis. Rien de cela n’exige un accès Mythos ; la même forme fonctionne avec des modèles publics sur du code interne.
-
Modélisez la menace « attaquant assisté par IA mais non vérifié ». Glasswing est un programme d’accès contrôlé, mais la capacité sous-jacente — rappel de patrons sur les sources d’une cible — est déjà partiellement disponible dans les modèles publics de pointe. Planifiez le cas d’un attaquant non vérifié assemblant un workflow comparable contre votre stack, avec des semaines plutôt que des jours d’avance. La cadence de divulgation que vous voyez dans les changelogs éditeurs est la moitié défensive de cette distribution.
-
Lire les crédits, pas seulement le CVSS. Une entrée de gravité moyenne créditée à une paire modèle + chercheur signale souvent une classe de bug et non un cas isolé. CVE-2026-28952 est « un dépassement d’entier » — ce patron ne vit presque jamais seul dans une base de code. Considérez que les commits adjacents dans le même sous-système méritent une re-revue.
Statut
| Élément | Référence | Date | Notes |
|---|---|---|---|
| Bulletin macOS Tahoe 26.5 | Apple | 2026-05-11 | Inclut CVE-2026-28952, CVE-2026-28942 |
| CVE-2026-28952 (Kernel) | NVD | 2026-05-11 | Dépassement d’entier, Calif.io with Claude, Anthropic Research |
| CVE-2026-28942 (WebKit) | Apple / WebKit Bugzilla 312180 | 2026-05-11 → 2026-05-13 | UAF, Milad Nasr & Nicholas Carlini with Claude, Anthropic |
| Rapport technique Calif.io | 9to5Mac | 2026-05-14 | Chaîne d’exploit de 5 jours sur Apple M5 + bypass MIE |
| Contexte Project Glasswing | LLM Hacking | 2026-05-26 | Accès Mythos restreint à ~50 partenaires, dont Apple |
| Publications associées | Apple | 2026-05-11 → 2026-05-13 | iOS/iPadOS 18.7.9, macOS Sequoia 15.7.7, Sonoma 14.8.7, Safari 26.5 |
Le bon cadrage n’est pas « une IA a trouvé des bugs Apple » — cette accroche est déjà plus vieille que ce bulletin. C’est « le changelog officiel d’un éditeur liste désormais un modèle parmi les chercheurs crédités, et la méthode qui a produit la découverte devient reproductible chez d’autres grands éditeurs ». Le travail des défenseurs est de cesser d’être surpris quand cela arrivera à un produit qu’ils livrent.
Sources
- → https://support.apple.com/en-us/127115
- → https://nvd.nist.gov/vuln/detail/CVE-2026-28952
- → https://news.ycombinator.com/item?id=48273169
- → https://9to5mac.com/2026/05/14/calif-team-details-how-anthropic-mythos-helped-build-a-working-macos-exploit-in-five-days/
- → https://www.tomshardware.com/tech-industry/cyber-security/apple-m5-architecture-suffers-first-privilege-escalation-exploit-anthropics-claude-mythos-helps-researchers-bypass-memory-integrity-enforcement
- → https://9to5mac.com/2026/05/13/safari-26-5-fixes-webkit-bugs-that-could-crash-safari-or-expose-user-data/