苹果 2026 年 5 月公告正式致谢 Claude 协助发现两个 macOS CVE
2026 年 5 月 11 日,苹果 macOS Tahoe 26.5 安全公告在两个 CVE 中列出 Claude 与其研究者并列——一个内核整数溢出和一个 WebKit 释放后使用漏洞。AI 辅助漏洞研究已正式出现在厂商更新日志中。
这是什么?
2026 年 5 月 11 日,苹果发布了 macOS Tahoe 26.5 的安全更新内容,以及 iOS/iPadOS 18.7.9、macOS Sequoia 15.7.7、macOS Sonoma 14.8.7 和 Safari 26.5。该公告中有两条条目不寻常:它们的研究者致谢中除了人名以外,还点名了一个模型。
Kernel — CVE-2026-28952:“An integer overflow was addressed with improved input validation. Calif.io in collaboration with Claude and Anthropic Research.”
WebKit — CVE-2026-28942 (Bugzilla 312180):“A use-after-free issue was addressed with improved memory management. Milad Nasr and Nicholas Carlini with Claude, Anthropic.”
同一发布周期中的两个 CVE,都在致谢中将 Claude 与使用它的人类研究者并列。我们关注的正是这一点——不是因为漏洞本身有何独特之处(一个整数溢出、一个 UAF;补丁被描述为输入校验与内存管理修复),而是因为厂商的更新日志如今成了 AI 辅助漏洞研究的产物。内核侧的发现源自 Calif.io 针对 Apple M5 的五天利用链工作,该工作在 Project Glasswing 计划下借助了受限的 Claude Mythos 模型。
工作原理
这里的”怎么做”指的是工作方式,而不是利用本身。本文不复现任何 payload——可作权威参考的是苹果公告原文、CVE-2026-28952 在 NVD 的条目,以及 Calif.io 亲自送到库比蒂诺的 55 页技术报告(9to5Mac 报道)。
参与者描述的协作形态大致如下:
阶段 人类 模型
--------------------------- --------------------------- -----------------------------------
攻击面梳理 选择目标子系统(kernel、 基于公开源码和符号表生成攻击面
WebKit) 摘要
模式回忆 提出要寻找的漏洞类 识别漏洞类(整数溢出、UAF),
指向候选代码路径
候选项分诊 审查命中 提出最小复现
利用链构造 组合原语链 提出枢转点和辅助原语
报告撰写 编写正文 预写章节,润色文字,核对引用
向厂商披露 亲自(本例如此)递交报告 —关于这种分工有两点值得注意。第一,漏洞类是旧的——整数溢出和 UAF 三十年来都在每一份漏洞分类里。按 Calif.io 自己的描述,模型贡献的是在攻击面大、找到正确内核路径回报集中的目标上,识别速度的提升。第二,人类在环不是可选项。把内核侧的发现变成针对 Apple Memory Integrity Enforcement 的真实利用链,是由经验丰富的研究者完成的;模型在发现这一半是”力的放大器”,而不是自主攻击者。
WebKit 的 CVE-2026-28942 遵循同样的模板,只是规模更小。Milad Nasr 和 Nicholas Carlini——对抗机器学习研究中众所周知的名字——使用 Claude 在 WebKit 进程崩溃处理逻辑中找出一个释放后使用问题,并向苹果披露,苹果在 5 月 13 日的 Safari 26.5 中修复了该问题。
为什么重要
漏洞已修。故事在那之后。
第一个变化是更新日志中的署名来源。厂商公告此前也曾致谢过工具(fuzzer、静态分析器、硬件探针),但通常是通过运行它们的团队隐式致谢。“X 与 Claude, Anthropic”这样一行字,把模型变成了公开、经法务审阅的文档中明确的研究贡献者。未来十二个月里,可以预期会有更多大厂商的公告采用相同形式。如果你维护 CVE 跟踪流水线,你的研究者姓名解析器即将开始遇到模型名称。
第二个变化是发现耗时的压缩。Calif.io 的时间线——Bruce Dang 在 4 月 25 日发现漏洞,Dion Blazakis 在 4 月 27 日加入,5 月 1 日有可用利用链——从起点到可工作的利用链只用了五天,而这一类漏洞历史上需要一支资深团队数周时间。值得做的比较不是”AI 能做人类能做的事”,而是”从一类漏洞变得可被发现,到第一个可信利用进入厂商队列的时间间隔正在缩短”。内核与浏览器组件的补丁 SLA 需要把这一点吸收进去,而且不只是苹果。
第三个变化是访问的不对称。完成这一工作的模型——Claude Mythos Preview——并未对公众开放;它通过 Project Glasswing 分发给大约五十家通过审核的组织。苹果是其中之一,Mozilla 也是,后者借助同一模型修复了 Firefox 150 中的 271 个隐性漏洞。对于不在该计划内的防御者,公开披露记录是了解前沿级进攻 AI 在你的技术栈上实际能力的唯一窗口。请据此阅读。
防御
除安装 5 月 11 日的更新外,没有什么需要”修复”。防御要点在于工作方式,而非补丁。
-
打补丁并清点资产。 确认全部资产已部署 macOS Tahoe 26.5、macOS Sequoia 15.7.7、macOS Sonoma 14.8.7、iOS/iPadOS 18.7.9 和 Safari 26.5。CVE-2026-28952 是一个会导致系统异常终止的内核整数溢出;CVE-2026-28942 是一个 WebKit UAF。两者都属于 5 月 11 日发布的 60 余个 CVE 的大包。
-
重新校准补丁 SLA。 如果你对浏览器引擎和内核 CVE 的内部目标仍是”披露后 30 天”,这一数字定下来的时候,可信发现的产出速率比现在低。把内核与浏览器的 SLA 与如今 AI 辅助厂商研究产出对齐——对外暴露资产更接近 7-14 天,并对正在被积极利用的漏洞保留一条明确的紧急通道。
-
在 CVE 流水线 schema 中加入模型署名字段。 多数 CVE 接入代码都把
acknowledgements当作自由文本解析。增加一个标准化字段”被引用的 AI 工具”——Claude、Mythos、GPT 类、内部 LLM——可以让团队把哪些漏洞类被 AI 召回、哪些被传统方法召回做关联,并发现自己的静态分析栈在哪些类别上被超越了。 -
在防御侧复制这一工作流。 Calif.io / Anthropic 的模式(人类指引 + 模型模式识别 + 人类构链 + 人类披露)对蓝队也可复制:在自家代码中分诊已披露 CVE 的未修复同源问题、按已知漏洞类审视依赖升级、根据公告文本生成最小复现。这些都不要求 Mythos 级访问权;在内部代码上,用公开模型也能做同样形态的事。
-
建模”AI 辅助但身份未经核验的攻击者”威胁。 Glasswing 是受控访问计划,但其底层能力——对目标源代码的模式回忆——已经部分出现在公开的前沿模型中。请规划这样一种情景:一名未核验的攻击者用类似工作流攻击你的栈,只是领先时间从天变成周。你在厂商更新日志里看到的披露节奏,是这一分布的防御端那一半。
-
读致谢,别只看 CVSS。 由”模型 + 研究者”配对致谢的中等严重度条目,往往指向的是一类漏洞而非孤立案例。CVE-2026-28952 是”一个整数溢出”——这种模式几乎不会在一个代码库里孤立存在。请把同一子系统相邻提交视为需要再审视的对象。
状态
| 项目 | 来源 | 日期 | 备注 |
|---|---|---|---|
| macOS Tahoe 26.5 公告 | 苹果 | 2026-05-11 | 包含 CVE-2026-28952、CVE-2026-28942 |
| CVE-2026-28952(Kernel) | NVD | 2026-05-11 | 整数溢出,Calif.io with Claude, Anthropic Research |
| CVE-2026-28942(WebKit) | Apple / WebKit Bugzilla 312180 | 2026-05-11 → 2026-05-13 | UAF,Milad Nasr & Nicholas Carlini with Claude, Anthropic |
| Calif.io 技术报告 | 9to5Mac | 2026-05-14 | 针对 Apple M5 的 5 天利用链 + MIE 绕过 |
| Project Glasswing 背景 | LLM Hacking | 2026-05-26 | Mythos 限受约 50 家合作方,苹果在内 |
| 同期发布 | 苹果 | 2026-05-11 → 2026-05-13 | iOS/iPadOS 18.7.9、macOS Sequoia 15.7.7、Sonoma 14.8.7、Safari 26.5 |
正确的视角不是”AI 发现了苹果的漏洞”——这条标题比这份公告更早。它是**“厂商的官方安全更新日志现在已经把模型列入致谢的研究者名单,而产生这一发现的工作流在其他大厂商中也变得可复制”**。防御者的工作,是在它发生在自家产品上时,别再感到意外。
Sources
- → https://support.apple.com/en-us/127115
- → https://nvd.nist.gov/vuln/detail/CVE-2026-28952
- → https://news.ycombinator.com/item?id=48273169
- → https://9to5mac.com/2026/05/14/calif-team-details-how-anthropic-mythos-helped-build-a-working-macos-exploit-in-five-days/
- → https://www.tomshardware.com/tech-industry/cyber-security/apple-m5-architecture-suffers-first-privilege-escalation-exploit-anthropics-claude-mythos-helps-researchers-bypass-memory-integrity-enforcement
- → https://9to5mac.com/2026/05/13/safari-26-5-fixes-webkit-bugs-that-could-crash-safari-or-expose-user-data/