苹果精心构筑的安全防线出现裂缝。安全研究人员借助Anthropic尚未公开发布的下一代AI模型Mythos，成功发现了MacOS操作系统中的漏洞组合，并在五天内构建出一套可绕过苹果顶级安全技术的攻击代码——这一突破，正将全球AI网络安全威胁的讨论推向新的高度。

据华尔街日报14日报道，总部位于帕洛阿尔托的安全研究公司Calif的研究人员，在今年4月测试Mythos早期版本期间，发现了MacOS中的两个漏洞，并将其与多种技术手段串联，实现了对Mac内存的破坏，进而获取了本应无法访问的系统权限。这是一种“权限提升漏洞利用”，若与其他攻击手段链式组合，可被黑客用于完全控制目标计算机。苹果公司表示正在审查Calif提交的报告，并称“安全是我们的首要任务”。

此次事件发生的背景，是全球监管层和金融精英对Mythos能力的高度警惕。国际货币基金组织已首次就最新AI模型的网络安全威胁专门发文，点名Mythos可能引发"宏观金融冲击"；英国央行行长贝利感叹"上辈子到底做错了什么"；欧洲央行行长拉加德警告一旦落入错误之手"后果将不堪设想"。与此同时，白宫正考虑出台行政令，对最先进AI模型实施政府监管。

五天攻破"半个十字架"：Mythos如何突破苹果防线

苹果的MacOS长期被视为全球最难攻破的操作系统之一。去年9月，苹果推出名为"内存完整性执行"（Memory Integrity Enforcement，MIE）的安全技术，称其是"历时五年、前所未有的设计与工程努力的集大成之作"。

然而，Calif的研究人员借助Mythos，仅用五天便完成了利用两个MacOS漏洞的攻击代码构建。该攻击通过串联两个漏洞及多种技术手段，破坏Mac内存并获取受保护的系统权限。研究人员本周二专程从帕洛阿尔托驱车前往苹果位于库比蒂诺的总部，当面递交了一份长达55页的漏洞报告。

不过，Calif首席执行官Thai Duong强调，此次攻击并非Mythos单独完成，而是充分依赖了公司安全研究人员的专业经验。他指出，Mythos擅长复现已有文档记录的攻击手法，"我们尚未见到它自主提出全新攻击技术的案例，这（次突破）在某种程度上是新鲜事物。"曾任职谷歌的安全研究员Michał Zalewski在审阅Calif报告后表示，尽管围绕Mythos的部分炒作"言过其实"，但最新AI工具确实可用于"有实质意义的漏洞研究和代码审计"。

Duong预计，苹果将很快修复上述漏洞，Calif计划在苹果完成补丁后公开攻击细节。

漏洞窗口期骤缩：AI重塑网络安全威胁格局

此次MacOS漏洞事件，是AI模型漏洞挖掘能力跃升的最新例证。据彭博观点专栏作家Parmy Olson指出，从软件漏洞公开披露到可用攻击工具出现，这一窗口期已从2018年的平均771天骤降至如今不足4小时。

Anthropic旗下AI模型的漏洞发现能力已有先例可循。今年早些时候，Anthropic的AI在两周内发现了Firefox浏览器逾100个高危漏洞，而全球其他渠道通常需要两个月才能发现同等数量。IMF在5月7日的博客文章中直接点名Mythos，称其已发现"每个主流操作系统和浏览器中的漏洞"，并警告AI模型可同时在大量机构中制造漏洞，可能引发金融系统层面的“相关性失败”。

代理AI的自动化攻击能力，使沿用数十年的"负责任披露"机制面临严峻挑战。彭博观点指出，Mythos真正的威胁并非主要指向拥有顶级IT安全体系的大型银行，而是对医院、中小企业和小型零售商等防御薄弱环节发出的紧急警示——这些机构既是黑客历来惯常瞄准的目标，也普遍缺乏快速响应所需的资源。

全球监管层拉响警报：从华尔街到央行的连锁反应

Mythos引发的震动已蔓延至全球金融监管层。美国财政部长贝森特4月召集华尔街高管评估系统防御准备，财政部目前正寻求直接获取Mythos访问权限。Bessent表示，"我有信心，所有人现在都已达成共识，正朝着同一方向努力，共同构建抗风险能力。"

在国际货币基金组织与世界银行春季会议上，Mythos议题引发广泛关注。欧洲央行行长拉加德警告，一旦该技术落入错误之手，"后果将不堪设想"。英国央行行长贝利则坦言，面对Mythos带来的未知威胁，监管层对其了解仍然有限，难以判断其究竟在已知网络安全风险上实现了多大跨越。

目前，Mythos仅向约40家以美国为主的机构开放，包括亚马逊、微软及摩根大通等大型银行，大量非美国金融机构尚未获得访问权限，由此引发外界对全球金融体系保护水平参差不齐的担忧。率先获准评估Mythos的英国AI安全研究院认定，该模型在发动复杂网络攻击方面的能力确实超越ChatGPT和Gemini等现有工具。

与此同时，白宫此前曾反对Anthropic逐步扩大Mythos访问权限，新AI模型的强大能力已令美国政府重新审视其对AI发展的宽松立场，联邦官员目前正考虑出台行政令，对最先进AI模型实施政府监管。