网易首页 > 网易号 > 正文 申请入驻

AI来挖漏洞,苹果的补丁速度也跟着“卷”起来了

0
分享至

周一,苹果一口气甩出iOS、macOS和Safari的安全更新,一口气堵上了三十多个漏洞。但真正让安全圈小兴奋一下的,是其中四个WebKit漏洞的发现方式——标签上清清楚楚写着:由OpenAI Codex Security和Anthropic Claude找出来的。

以往这些漏洞申报者,多半是独立研究者或安全公司的员工。现在,AI模型的名字直接出现在了苹果的致谢列表里。这件事本身比单个漏洞的严重性更值得玩味:挖洞工具链正在被重塑,而苹果的补丁节奏,也明显被这个变化推着加速了。


先看看这四个由AI“揪出来”的WebKit缺陷到底长什么样。第一个CVE-2026-43707是内存损坏,处理恶意网页内容时可能直接让系统进程崩掉。第二个CVE-2026-43716描述比较模糊,苹果只说是一个未指明的WebKit问题,同样导致Safari异常崩溃。第三个CVE-2026-43745是个越界写入,也是恶意网页内容触发、Safari崩。这三个都挂在了OpenAI Codex Security名下。第四个CVE-2026-43715是释放后使用导致的记忆体损坏,苹果把发现归功给了Anthropic的研究员Milad Nasr、Nicholas Carlini,以及他们带上的助手Claude。

这四种漏洞类型——内存损坏、未定义异常、越界写入、释放后使用——放在WebKit的历史里不算新鲜。新鲜的是,它们几乎是被AI半自动化地从代码海洋里捞出来的。而且这不是零散的碰运气,一次更新把四个AI发现的漏洞打包修补,说明这类工具已经进入了批量产出的阶段。

把这四个漏洞放进整批更新里看,会更清楚这波修补的覆盖范围。除了它们,苹果还一并修了另外将近三十个WebKit漏洞。其中两个值得单独提一下:一个是WebKit Canvas组件里的释放后使用问题,编号CVE-2026-43720;另一个编号CVE-2026-43725,能让恶意网站在沙箱之外处理受限网页内容。Canvas那个属于图形渲染的常见坑,而沙箱逃逸类的漏洞永远是浏览器的头号威胁,因为这相当于把苹果给Web内容设的隔离墙凿了个洞。

内核这边也没被放过。本次更新封堵了三个内核级漏洞,全部来自同一名研究者Hyunwoo Kim的发现。这人就是大名鼎鼎的“Dirty Frag”漏洞发掘者,这次他上报的漏洞依然质量极高:CVE-2026-43722能让恶意App泄露内核的敏感状态信息,CVE-2026-43724能导致系统意外终止或往内核内存里写东西,CVE-2026-39868更是可以直接破坏内核内存。三个叠加起来,足够一个恶意的App在系统底层胡作非为。而苹果把它们和WebKit的AI掘洞成果塞进了同一个修复包,补丁节奏之紧凑可见一斑。

这次更新虽然一口气修了三十多个洞,但苹果在声明里特意加了一句:目前没有发现其中任何一个已经在野外被利用。换句话说,补丁不是“救火”,而是“防火”。但更扎眼的是苹果对路透社说的一段话——它承认,面对AI加速恶意黑客工具开发的能力,它正在主动调整策略,把安全更新的发布时间大幅提前,缩短公告到用户拿到补丁之间的时间窗口。

这句话的潜台词很直白:AI不止在帮安全团队找漏洞,也在帮攻击方写利用程序。以前一个漏洞从发现到武器化可能需要几天甚至几周,现在有生成式模型辅助,这个窗口可能被压缩到小时级。苹果不想等自己被零日打了才推送补丁,而是要在对手还没反应过来之前把门锁换掉。

所以这场更新表面是修漏洞,内里是一次节奏切换的信号。iOS 26.5.2、iPadOS 26.5.2、macOS Tahoe 26.5.2和Safari 26.5.2,这四个版本看似寻常,但它们的发布时点前移,就是在回答一个问题:当黑客手里也捏着AI工具时,防守方该怎么办。苹果给出的策略很简单——你变得快,我必须发布得更快。

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
倒查1996至2026年履职记录,这类干部终身追责

倒查1996至2026年履职记录,这类干部终身追责

刘哥谈体育
2026-07-04 15:04:24
影评人集体满分?这部科幻剧凭啥封神

影评人集体满分?这部科幻剧凭啥封神

时光慢旅人
2026-07-04 00:39:23
签下了!4年5600万!A级操作啊!

签下了!4年5600万!A级操作啊!

左右为篮
2026-07-05 00:37:56
王毅成大明星了?访问丹麦途中,丹麦网友惊叹:中国来的外长好帅

王毅成大明星了?访问丹麦途中,丹麦网友惊叹:中国来的外长好帅

笙歌君独幽a
2026-07-05 00:07:07
重磅消息!清华大学发布“强基”录取结果,分数线出炉

重磅消息!清华大学发布“强基”录取结果,分数线出炉

史海流年号
2026-07-04 08:09:40
没有证据?那就发明证据!从中国第一“女福尔摩斯”到冤案制造者

没有证据?那就发明证据!从中国第一“女福尔摩斯”到冤案制造者

许三岁
2026-06-24 11:06:59
亚洲唯一不与中国建交的国家,首都距离我国仅45公里,咋回事?

亚洲唯一不与中国建交的国家,首都距离我国仅45公里,咋回事?

抽象派大师
2026-07-03 02:13:20
速递!中国篮协开紧急会议,杜锋或顶替郭士强,赵继伟打封闭上阵

速递!中国篮协开紧急会议,杜锋或顶替郭士强,赵继伟打封闭上阵

多特体育说
2026-07-05 09:04:44
为何艺人集体开演唱会,原因在于三个字:危机感

为何艺人集体开演唱会,原因在于三个字:危机感

阿乐碎碎念
2026-07-05 08:56:29
拜拜了,布伦森!詹姆斯下家又少一个

拜拜了,布伦森!詹姆斯下家又少一个

体育新角度
2026-07-04 15:25:19
1995年看露天电影时,邻家嫂子偷偷摸了一下我的手,示意我跟她走

1995年看露天电影时,邻家嫂子偷偷摸了一下我的手,示意我跟她走

千秋文化
2026-07-02 19:32:08
这 4 大岗位将被移出事业编!!!

这 4 大岗位将被移出事业编!!!

细说职场
2026-07-04 19:38:59
57岁奥运冠军控诉38岁奥运冠军:违反廉洁纪律 辽宁体育局包庇

57岁奥运冠军控诉38岁奥运冠军:违反廉洁纪律 辽宁体育局包庇

念洲
2026-07-04 10:58:54
漂亮就睡,丑就要钱:10分钟约女生开房,记者曝情感导师泡妞经历

漂亮就睡,丑就要钱:10分钟约女生开房,记者曝情感导师泡妞经历

汉史趣闻
2026-07-05 08:52:32
陪玩陪睡只是皮毛!继手伸进裤子后,又一女星自曝,50多都不放过

陪玩陪睡只是皮毛!继手伸进裤子后,又一女星自曝,50多都不放过

不似少年游
2026-06-22 19:32:51
法国技术总监:德尚决定不征召布阿迪参加世界杯,理解他选摩洛哥

法国技术总监:德尚决定不征召布阿迪参加世界杯,理解他选摩洛哥

云隐南山
2026-07-04 16:22:26
北大哲学系主任的毕业致辞火了:请原谅我不敢用堆砌起来的一组形容词来祝福你们

北大哲学系主任的毕业致辞火了:请原谅我不敢用堆砌起来的一组形容词来祝福你们

超级数学建模
2026-07-04 02:03:11
两性揭秘:接吻拥抱只是前戏,真正的“生理性喜欢”从这里开始

两性揭秘:接吻拥抱只是前戏,真正的“生理性喜欢”从这里开始

皓皓情感说
2026-07-05 08:49:13
男篮惨败后迎来1大利好?中国队或死里逃生晋级:郭士强因祸得福

男篮惨败后迎来1大利好?中国队或死里逃生晋级:郭士强因祸得福

篮球快餐车
2026-07-05 07:53:34
江青墓地简陋寒酸:看了碑文,就能明白李讷的苦心和无奈

江青墓地简陋寒酸:看了碑文,就能明白李讷的苦心和无奈

诗意世界
2025-05-21 09:00:02
2026-07-05 09:44:49
闪存猎手
闪存猎手
全网蹲好价的野生捕手,算力与羊毛都不可辜负。
248文章数 49关注度
往期回顾 全部

科技要闻

年费7.5万美元,美国富裕家庭把孩子送进AI学校

头条要闻

姆巴佩被巴拉圭队球员出拳击倒 进球后用不屑表情回应

头条要闻

姆巴佩被巴拉圭队球员出拳击倒 进球后用不屑表情回应

体育要闻

揭法国锋线最大优势 有人比姆巴佩还快?

娱乐要闻

王力宏成都舞台受伤 仍然坚持三小时

财经要闻

揭秘跨境“对敲”换汇黑产

汽车要闻

方程豹钛9内饰曝光 用上了长联屏设计/下半年上市

态度原创

教育
旅游
本地
亲子
公开课

教育要闻

高考物理类668分,他为何放弃北大、北航,选择了北京理工大学?

旅游要闻

第二十一届广昌莲花旅游文化节开幕

本地新闻

国内足球之旅?这座小城给你高分答案

亲子要闻

欢迎周洲阿姨来我家!

公开课

李玫瑾:为什么性格比能力更重要?

无障碍浏览 进入关怀版