5 天 vs 5 年:一支 3 人小队 + Claude Mythos 击穿了 Apple 最强的硬件防线
2026 年 5 月 14 日,一家叫 Calif 的安全创业公司在 Substack 上发了一篇博客,标题很平淡——「首个公开的 Apple M5 macOS 内核内存损坏漏洞」。
但读完正文,每条信息都让人后背发凉:

- 苹果花了 5 年时间、数十亿美元,在 M5 芯片上构建了 MIE(Memory Integrity Enforcement)——号称能阻断所有已知 iOS 公开漏洞链的硬件级内存安全防线
- Calif 的 3 人团队,借助 Anthropic 未公开的 Claude Mythos Preview 模型,只用了 5 天就绕过了它
- 4 月 25 日发现漏洞,4 月 27 日组建团队,5 月 1 日——可用的本地提权漏洞链完工
- 从普通用户权限到 root shell,仅用标准系统调用,在 MIE 全开的裸金属 M5 硬件上
那条 20 秒的 PoC 视频我没法在这里放,但 Calif 官方已经贴出来了——终端里敲了几条命令,然后 whoami 返回 root。
这不是又一个「AI 会写漏洞」的故事。这是 AI 正在重写安全攻防的时间公式的故事。
MIE 是什么,为什么值得关心
先搞清楚苹果到底建了什么。
MIE 的全称是 Memory Integrity Enforcement,苹果在 M5 和 A19 芯片上首次引入的硬件级内存安全系统。底层技术是 ARM 在 2019 年发布的 MTE(Memory Tagging Extension)——给每 16 字节的内存区块分配一个 4 位加密标签,硬件层面对每次内存访问做标签校验。标签对不上?App 直接崩溃,事件记录在案。
用大白话说:以前的内存漏洞利用,攻击者通过篡改指针跳来跳去,最终执行恶意代码。MIE 上来就给每块内存贴了「身份证」,你想读不该读的地方?硬件直接拦。
苹果在 2025 年 9 月的官方博客里说得非常自信:「MIE 中断了所有已知的现代 iOS 公开漏洞链,包括泄漏的 Coruna 和 Darksword 漏洞工具包。」
这话翻译过来就是:以前能搞定 iPhone 的全部招式,在 M5/A19 面前全部失效。
做完这件事,苹果花了 5 年。WSJ 报道援引的估算口径是「数十亿美元」。
然后 Calif 来了。
5 天时间线:三个人的闪电战
Calif 官方博客给出了精确到日的时间线:
- 4 月 25 日:Bruce Dang 发现了这两个漏洞——按 Calif 的说法,「纯属意外」
- 4 月 27 日:Dion Blazakis 加入 Calif,恰好赶上这个项目
- 4 月 27 日 – 5 月 1 日:Josh Maine 搭建攻击工具链,团队在 Mythos Preview 的全程辅助下完成漏洞利用开发
- 5 月 1 日:可用的本地提权漏洞链完工
攻击链的技术特征:
- 类型:data-only kernel local privilege escalation chain(纯数据内核本地提权链)
- 目标:macOS 26.4.1(25E253),裸金属 M5 硬件,kernel MIE 全开
- 起点:一个没有特殊权限的本地用户
- 终点:root shell(系统最高权限)
- 工具:仅使用标准系统调用,没有花哨的原语
- 组件:串联两个漏洞 + 若干技术手法
Calif 专门强调了一句话:「Mythos Preview 在识别漏洞方面非常强——一旦学会如何攻击某一类问题,它几乎能推广到该类问题中的任何目标。因为漏洞属于已知类别,所以发现得很快。但 MIE 是最新的顶级防护,自主绕过它很难——这里需要人的专业判断。」
这句话的分寸感很重要。它不是「AI 自己搞定了」,也不是「人用了 AI 当辅助」。是 「AI 识破漏洞 + 人绕过防护」的组合拳。
报告的仪式感:激光打印,亲自送到 Apple Park
如果你以为 Calif 只是把 PoC 发到 Apple 的 bug bounty 系统就完事——完全不是。
5 月中旬,Calif 团队驱车到 Apple Park,把 55 页技术报告的激光打印版当面交给苹果。博客里写:「为了致敬我们的黑客朋友,我们用了激光打印。」
选择面交而不是走线上提交,Calif 也给出了非常坦诚的理由:不想步 Pwn2Own 参与者的后尘——他们的报告被涌入的提交潮淹没了。在社交媒体上争夺「五分钟的名气和荣耀」这件事上,面交可能是一条捷径。
博客结尾甚至拿 Apple Park 的造价开涮:
「苹果的飞船总部如传闻中一样壮丽。他们告诉我们,这个'办公室'花了 50 亿美元。然后问起我们的办公室。我们说,嗯,我们的肯定没超过 10 亿。」
「但这正是 AI 的有趣之处。小团队突然能做以前需要整个组织才能做的事。在越南语里我们说:nhỏ mà có võ——小,但能打。」
这不是「AI 独立攻破」,而是「精英 × AI」的乘法效应
读 Calif 原文比读媒体报道有意思得多——因为团队非常诚实地写了 AI 的边界。
Mythos Preview 的强项是泛化已知漏洞类别。碰过几次内存损坏漏洞后,它能把方法论迁移到新的代码库。所以发现新 bug 很快——因为 bug 的模式是相通的。
但 MIE 是最新的硬件级防御,AI 没有先例可以「泛化」。绕过 MIE 需要创造性的新方法——这仍然是人类专家的活。
Calif 的话总结得很到位:「Mythos Preview 极其擅长复现已文档化的攻击,但它不能独立发明全新的攻击技术。」
但别因为这个结论就觉得「还好,没那么可怕」。真正可怕的地方恰恰在这个组合:
3 个世界级安全研究员 × 一个能泛化漏洞发现的 AI = 5 天击穿 5 年的防线。
以前要完成同样的事,可能需要 30 个人、几个月。Mythos 把漏洞发现的时间从周级压缩到了小时级,把人类专家从「找 bug」里解放出来,让他们专注于只有人才能做的事——创造性地绕过防护。
这就是「小团队 × AI」对「大组织」的战略优势:不是 AI 替代了人,而是 AI 让少数精英的火力密度暴涨。
对独立开发者的启示:Harness 决定上限
如果你觉得「漏洞挖掘」离你很远——其实不远。这件事对做 AI 产品的人有直接启示。
Claude Mythos 为什么强?不是因为 Anthropic 用了什么魔法模型。拆开看,核心是约束层的设计。
Mythos 是 Anthropic 的「Project Glasswing」计划的一部分,只开放给少数安全合作伙伴——Apple、AWS、Google、Microsoft、Nvidia、CrowdStrike 等。Anthropic 说它能发现「数千个关键基础设施中的零日漏洞」。这不是模型能力的问题——是给模型造了什么缰绳的问题。
同样的模型,直接扔给普通用户,大概率产出远不如 Mythos Preview。区别在哪?Mythos Preview 有专门的漏洞发现约束链——它被训练和调优成在特定领域(代码安全审计)持续深入、不跑偏、给出可复现的攻击路径。
这就是 Harness Engineering 的核心:不是模型有多强,是你给模型造了多好的缰绳。
做 AI Agent、做 Claude Code Skill、做任何 AI 驱动的产品——天花板不在模型上,在 Harness 上。好的 Harness 让 Claude 从「能聊天」变成「能发现零日漏洞」。差的 Harness 让最强模型也只能做最基础的事。
焦虑没用,但认知要跟上
最后说说这件事该怎么看。
第一,不要恐慌。Calif 的漏洞链是本地提权,不是远程代码执行。攻击者需要先在目标机器上获得代码执行能力(比如通过钓鱼或恶意软件),然后才能利用这个链提权到 root。它不是「点击一个链接就被黑了」——远没那么夸张。
第二,也不要掉以轻心。苹果已经在 macOS Tahoe 26.5 的发布说明中致谢了 Calif 和 Anthropic Research,说明部分修复已经落地。但 Calif 明确说 55 页完整报告要等苹果修完再发——这意味着修复还在进行中。
第三,最关键的一件事:MIE 不是被「攻破」的。它仍然拦住了大多数攻击面。但它的设计假设——「攻击者需要花很长时间、大量人力才能绕过硬件防护」——在 AI 辅助下不成立了。
Calif 博客的结尾写得非常精准:
「MIE 从来就不是为'不可能被黑'而设计的。遇到正确的漏洞,它就能被绕过。我们一直在展示,AI 系统正在发现越来越多的漏洞。不可避免的是,其中一些漏洞最终会强大到足以幸存于像 MIE 这样的高级防护。这正是我们刚刚发现的东西。」
「这项工作是即将到来之事的一瞥。Apple 在一个没有 Mythos Preview 的世界建造了 MIE。我们即将见证地球上最好的防护技术,在第一次 AI 漏洞大爆发中能撑多久。」
这句「glimpse of what is coming」,不是危言耸听。
检验标准
读完这篇文章,你应该能回答:
- Apple MIE 是什么,它基于什么底层技术实现?如果只能解释给一个非技术背景的朋友听,你会怎么说?
- Calif 团队的 5 天时间线具体是怎样的?Mythos AI 做了什么、人类专家做了什么?
- 什么叫「Harness Engineering」?为什么 Mythos 的能力不完全是模型能力的胜利,更是约束层设计的胜利?
- 这个漏洞链的实战危害到底有多大?为什么说「本地提权」和「远程代码执行」有本质区别?
- 「AI × 小团队」为什么能颠覆「大组织 × 长周期」的安全攻防公式?这个逻辑对独立开发者意味着什么?
