AI辅助安全研究的真实边界：从苹果M5防护被突破的叙事说起

2026年5月中旬，一则关于AI攻破苹果硬件安全防线的消息快速刷屏：安全公司Calif宣称，借助Anthropic尚未公开发布的Claude Mythos Preview模型，仅用5天就构建出针对苹果M5芯片macOS内核的提权利用链，绕过了苹果耗时5年打造的MIE硬件内存防护机制，该结论目前仅为Calif单方披露，苹果尚未官方验证。[1][2] 一时间“5天攻破5年研发防线”“AI开启漏洞末日”的叙事广泛传播，但在冲突感极强的数字对比背后，技术细节的黑箱、对比维度的错位和能力边界的模糊，让这一事件的真实影响远非传播叙事所描述的那样简单。

可验证的事实与未确认的核心结论

剥离传播层的夸张表述，目前可交叉验证的事实边界非常清晰。根据Calif披露的项目时间线，整个研究的起点并非AI自主扫描，而是人类研究员的初始发现：4月25日，安全研究员Bruce Dang首先定位到macOS 26.4.1版本内核的可疑漏洞；4月27日，另一名资深内核安全研究员Dion Blazakis加入团队，才引入Claude Mythos Preview参与工具链开发和利用链调试；最终在5月1日，完整的本地提权利用链在搭载M5芯片的真机上跑通，从漏洞初筛到完成利用链的全周期共耗时5天。[1][2][5]

Calif公开的技术参数显示，这条利用链属于“纯数据操作（data-only）”类的内核本地提权：攻击起点为无特权的普通本地用户，全程仅使用标准系统调用，最终获取系统最高权限的root shell，且测试过程中M5芯片的MIE硬件防护机制始终处于开启状态。[5] 值得注意的是，关于“利用链成功绕过MIE核心防护”的结论目前仅为Calif单方披露，截至发稿，苹果官方仅确认收到Calif提交的55页技术报告，一手情报显示苹果已修复相关漏洞并向Calif致谢，但尚未对该利用链的技术有效性、是否真正突破MIE的设计防护范围发布官方验证结论。[1][7][8]

从人机分工的边界看，Calif首席执行官Thai Duong已明确界定了AI的角色范围：整个过程中，人类研究员负责漏洞初筛、攻击路径框架设计和最终的技术验证，Mythos的核心作用是复现已公开的data-only内存攻击手法，生成适配M5芯片和macOS 26.4.1内核的调试代码，快速验证不同利用技巧的边界条件，并未参与核心攻击思路的设计，也未提出超出公开技术栈的全新攻击技术，这一角色定位也得到了多方交叉验证。[1][3][9]

传播叙事的三重维度错位

传播过程中被反复强调的“5天攻破5年防线”的对比，实际上存在三重明显的维度错位，刻意放大了AI的能力边界，是典型的为制造冲突感设计的叙事营销。

第一重是任务周期的维度错位。苹果所宣称的“5年打造MIE机制”，指的是从ARM内存标签扩展（MTE）技术适配、芯片架构修改、硬件流片验证到操作系统内核集成的全量产周期，涉及数千名工程师的跨部门协作，覆盖从硬件到软件的完整链路。[2][6] 而Calif团队的5天周期，仅指从“已经定位到具体漏洞”到“构建出可运行的利用链”这一局部流程，两者的任务边界、复杂度和投入规模完全不具备可比性。

第二重是核心角色的维度错位。传播叙事普遍将突破描述为AI的独立成果，但从时间线可以清晰看到，核心的漏洞发现环节完全由人类完成，AI是在项目启动两天后才加入的辅助工具，实际参与的周期仅为4天左右。整个研究的攻击框架、边界约束均由人类研究员设定，AI仅承担了代码生成、调试验证等机械性工作，并未主导任何核心决策。这种将“人类主导+AI辅助”偷换为“AI自主完成”的叙事，刻意弱化了人类专业判断的核心作用。

第三重是能力范围的维度错位。传播叙事将突破描述为“攻破MIE硬件防护的核心逻辑”，但从Calif披露的技术路径看，本次其宣称突破MIE防护的利用链攻击思路并未超出已知的安全研究范畴——该突破结论目前仅为Calif单方披露，苹果尚未官方验证。MIE作为苹果基于ARM MTE构建的硬件安全机制，其核心设计目标是拦截基于代码指针篡改的内存损坏攻击——这类攻击是过去十几年间绝大多数内核提权漏洞的核心实现方式，苹果曾公开表示MIE可打断所有已知的针对现代iOS的公开攻击链。[2] 但Calif使用的data-only攻击，并不依赖代码指针篡改，而是通过修改内核中非指针类的权限配置字段实现提权，这类绕过思路最早在2022年的ARM安全年度会议上就有公开论文和验证POC，属于已知的MTE防护盲区。[2] 换句话说，按照Calif的披露，本次突破本质上是找到了MIE在macOS内核具体实现中的配置疏漏——该突破结论目前仅为Calif单方披露，苹果尚未官方验证——而非破解了MIE的硬件设计逻辑，AI的作用是快速完成了已知攻击思路的跨版本适配，而非发明了全新的攻击范式。

高端安全研究领域的真实产业变化

即便剥离了传播叙事的夸大成分，本次事件仍然是大模型在高端网络安全研究领域的一次重要验证，展现了AI大幅提升安全研究效率的潜力[1]，其真实影响集中在高端漏洞挖掘领域的成本结构和竞争格局的变化上，而非所谓的“漏洞末日”。

过去，高端内核漏洞挖掘是高度依赖顶尖人才的密集劳动行业。根据公开的行业研究结论，针对苹果内核级的提权漏洞，纯人工挖掘的平均周期为3至6个月[1]，苹果官方针对这类内核级漏洞的最高赏金为100万美元[6]。整个领域的核心壁垒是顶尖人才的稀缺性，市场高度集中在少数精英团队和头部科技厂商的内部安全部门。

AI辅助工具的出现，首先改变了这一领域的成本结构。过去，安全研究员将公开攻击手法适配到新的系统版本、新的硬件架构时，需要手动逆向数千个内核符号、反复调试内存布局，这类机械性重复工作通常占据了整个研究周期的大部分工作量，而大模型可将顶尖硬件漏洞研究周期从半年压缩到5天[1]，将人类研究员的精力解放到攻击思路设计、边界条件验证等核心环节。若AI辅助能将利用链构建的周期从月级压缩至周级，单位漏洞的综合成本或出现显著下降，对于每年投入数亿美元用于漏洞挖掘和修复的头部科技厂商而言，这类效率提升的投资回报比远高于普通办公场景的AI提效。

更值得关注的是领域竞争壁垒的转移。Mythos这类具备高端安全研究辅助能力的大模型，目前均采用严格的定向授权模式：Anthropic以安全风险为由，仅向经过严格审查的合作伙伴开放Mythos的使用权限；OpenAI同期推出的同类型网络安全专用模型GPT-5.5-Cyber，也仅向经过资质审核的关键基础设施防御者开放。[11] 这种授权模式直接将中小安全厂商挡在了高端工具的准入门槛之外，领域的核心壁垒从过去的“顶尖人才稀缺”，转向“模型准入权限+资深研究员的人机协作能力”：拥有模型权限的团队可以大幅降低对顶级研究员的依赖，原来需要10年以上经验的内核专家才能完成的适配工作，现在5年以上经验的研究员配合模型即可完成，相当于合格供给量扩大3至5倍，但所有供给都受模型提供方的权限管控。这意味着Anthropic、OpenAI等大模型厂商，已经成为高端安全服务领域的上游工具供给方，掌握了核心定价权，而Google Cloud、AWS作为大模型的云服务合作渠道，也会将这类安全能力打包进企业级安全套件，分享产业链价值。

治理规则滞后带来的公共风险

本次事件引发的更深远影响，是它直接打破了全球网络安全治理延续数十年的底层假设：过去，漏洞挖掘的成本远高于防御成本，防御方拥有数月甚至数年的时间窗口修复问题；而AI辅助下的漏洞挖掘效率提升，正在大幅压缩防御方的响应窗口，现有治理规则的滞后性已经显现。

根据美国人工智能安全研究所（AISI）发布的METR评估报告，Claude Mythos Preview在无防御的TL0企业靶场中实现了30%的端到端通关率，在专家级CTF任务中达到73%的成功率，但测试环境未设置EDR阻断、流量监测等真实防御机制，仅反映纯攻击能力的上限。[11] 这类能力如果出现无差别扩散，将直接提升关键基础设施的安全风险，2026年5月美国副总统万斯召集OpenAI、Anthropic等企业CEO开会时就明确指出，具备自主漏洞挖掘能力的大模型可用于攻击乡镇银行、医院、供水设施等民生场景，而多数地方政府的安全防护能力根本无法应对这类AI辅助的攻击。

目前，全球范围内尚未出台针对具备漏洞挖掘能力的大模型的专门成文法规，现有约束体系仅由三层构成：一是现有网络安全法律的兜底适用，包括美国《计算机欺诈和滥用法》、欧盟NIS2指令、中国《网络安全法》中关于未经授权访问计算机系统的禁止性规定，这类规则适用于所有主体，与是否使用AI辅助无关；二是监管口径的明确施压，目前美国、欧盟均已释放出对这类高风险AI模型实施严格准入管制的信号；三是企业自愿的自律约束，包括Anthropic、OpenAI对模型实施定向授权，仅向经过资质审核的机构开放。

但现有约束体系仍存在明显的漏洞：首先是责任划分边界模糊，目前暂无明确法规要求模型提供方对授权用户的滥用行为承担连带责任，如果授权用户将模型能力用于非授权测试，或者模型能力通过账号转借、开源复现等方式扩散到恶意主体，最终承担损失的只会是产品厂商和普通用户；其次是不同司法管辖区的监管方向可能出现分裂，美国大概率走特许准入的路径，欧盟可能将这类模型纳入《AI法案》的高风险目录，中国则可能要求其通过生成式AI服务的前置安全评估，跨境外溢的规则冲突尚未显现；第三是监管尚未建立有效的能力度量标准，原有的METR等评估体系已经无法覆盖Mythos这类新一代模型的攻击能力，评估方法的滞后直接延缓了监管规则的落地节奏。

落到具体的合规要求上，未来高攻击性网络安全AI的商业化路径已经被划定了明确的边界：所有具备自主漏洞挖掘、生成完整利用链能力的大模型，均无法面向公众开放，企业级服务也必须前置客户资质审查环节，这类模型的商业化只能聚焦于持牌安全机构、关键基础设施运营者等窄众场景；同时，安全行业的漏洞披露规则也存在随之调整的可能，目前行业通行的90天漏洞披露安全期存在被大幅压缩的可能，硬件、软件厂商的补丁更新节奏将被迫从按月度、季度更新转向按周甚至按天更新，防御方的合规成本将显著上升。

能力边界与后续观察指标

需要明确的是，目前所有关于Mythos能力的判断，都仅基于Calif的单案例披露和公开的模型评估数据，仍然存在多个关键边界条件尚未验证，后续的一系列事实将直接修正现有认知。

首先需要验证的是技术突破的真实性：如果苹果官方在后续的漏洞公告中确认，该利用链确实突破了MIE的设计防护范围，而非利用了未覆盖的设计盲区，那么关于AI技术能力的判断将需要重新调整；如果苹果披露的漏洞细节显示，该漏洞仅属于普通的内核配置错误，那么本次事件的技术影响力将进一步降低。

其次需要验证的是效率提升的可复现性：如果Calif后续公开项目的完整操作日志，明确Mythos在整个研究周期中承担的工作量占比，且有第三方安全团队在获取模型权限后复现了类似的效率提升，那么关于AI提效的判断将得到进一步验证；如果第三方测试显示，AI的效率提升仅适用于特定类型的已知漏洞，无法覆盖未知类型的零日漏洞，那么其产业影响的范围将远小于当前预期。

第三需要验证的是监管和扩散的风险：如果开源社区在未来12个月内出现可复现Mythos核心安全能力的开源模型，那么定向授权的管制模式将出现实质性漏洞，能力扩散的风险将大幅上升；如果美国、欧盟等主要经济体在未来6个月内出台专门的管制法规，明确模型提供方的连带责任和准入资质要求，那么整个领域的商业化节奏将随之调整。

对于普通用户而言，本次事件并不意味着个人设备的安全风险出现即时的大幅上升——目前这类高端漏洞利用的成本仍然较高，且模型权限的严格管控意味着能力不会快速扩散，更值得关注的是头部科技厂商的补丁更新节奏变化，以及监管层针对AI安全工具的规则落地进度。

归根结底，本次事件的核心价值不是制造“AI攻破硬件防线”的技术神话，而是第一次在高端安全研究的真实场景中，验证了大模型作为辅助工具的提效潜力。安全研究的核心驱动力仍然是人类研究员的专业判断和创新能力，AI的作用是将人类从重复劳动中解放出来，而非替代人类。真正值得警惕的从来不是AI的技术能力本身，而是被夸大的叙事所掩盖的能力边界，以及治理规则跟不上技术进化速度所带来的公共风险。