نفوذ به دژ دو میلیارد دلاری اپل؛ هوش مصنوعی آنتروپیک، سد دفاعی مکهای M5 را دور زد
مدل هوش مصنوعی قدرتمند آنتروپیک که با نام Mythos شناخته میشود، در کانون رخداد امنیتی بزرگی قرار گرفته است. گروهی از محققان امنیتی با استفاده از این هوش مصنوعی موفق شدند آسیبپذیریهای خطرناکی را در سیستمعامل macOS کشف کنند؛ اتفاقی که نشان میدهد حتی پیشرفتهترین سیستمهای دفاعی جهان نیز در برابر نسل جدید هوش مصنوعی آسیبپذیرند.
دور زدن پروژه پنجساله و دو میلیارد دلاری اپل
هستهی اصلی نفوذ به سیستمعامل macOS، دور زدن یکی از پیچیدهترین لایههای امنیتی اپل بهنام MIE بوده؛ طبق تخمینها اپل حدود پنج سال زمان و بالغبر دو میلیارد دلار برای توسعهی این سیستم سختافزاری هزینه کرده؛ فناوری MIE که بر پایهی معماری MTE شرکت Arm بنا شده، در گوشیهای آیفون ۱۷، آیفون ایر و بهتازگی در مکبوکهای مجهز به تراشهی M5 تعبیه شده است تا از اجرای حملات مبتنیبر «تخریب حافظه» جلوگیری کند.
نکتهی شگفتانگیز ماجرا اینجاست که سیستم MIE اپل دقیقا همانطور که طراحی شده بود، بهدرستی کار میکرد؛ اما هوش مصنوعی Mythos بهجای درگیری مستقیم با سد دفاعی MIE، مسیر نفوذ کاملا جدیدی پیدا کرد؛ بدینترتیب که از طریق مسمومکردنِ دادههایی که تراشهی M5 دریافت میکند، سیستم را دور میزد.
حمله در ۵ روز؛ از کشف تا دسترسی کامل
دستاورد تاریخی نفوذ به سیستم دفاعی قدرتمند و گرانقیمت اپل، توسط محققان شرکت امنیتی کلیف (Calif) مستقر در پالو آلتو، کالیفرنیا رقم خورد. تیمی متشکل از بروس دانگ، دیون بلازاکیس و جاش مین، کار خود را در ۲۵ آوریل آغاز کردند و تا اول ماه مه، تنها در عرض پنج روز موفق شدند یک اکسپلویت کاملا عملیاتی بسازند.
حمله به سیستم دفاعی اپل که سیستمعامل macOS 26.4.1 را هدف قرار داده است، از طریق ترکیب دو باگ مختلف و با استفاده از فراخوانیهای عادی سیستم انجام میشود. مهاجمان در این روش میتوانند از یک کاربر محلی بدون دسترسی، سطح اختیارات خود را ارتقا دهند و در نهایت به یک Root Shell یا همان دسترسی و کنترل کامل بر کامپیوتر برسند.
پخش از رسانه
ارزش چنین اکسپلویتهایی در بازار خاکستری بین ۵ تا ۱۰ میلیون دلار برآورد میشود؛ اما تیم کلیف توانست با استفاده از قدرت تحلیل Mythos Preview و تنها با صرف حدود ۳۵هزار دلار هزینهی API برای این هوش مصنوعی، به کد مخرب موردنیاز برای نفوذ به سیستم دفاعی اپل دست پیدا کند.
تای دانگ، مدیرعامل Calif توضیح میدهد: «نمیتوان گفت که این نفوذ صرفا کار Mythos بوده؛ در واقع موفقیت بهدستآمده، حاصل ترکیب هوش مصنوعی با تخصص انسانی هکرهای ماست. Mythos در شناسایی کلاسهای باگ شناختهشده فوقالعاده سریع عمل میکند؛ اما برای عبور از سد بینظیری مثل MIE، به خلاقیت و هدایت متخصصان انسانی نیاز بود.»
نفوذ به سیستم دفاعی دو میلیارد دلاری اپل، بدون تخصص انسانی هکرها و صرفا با اتکا بر هوش مصنوعی Mythos ممکن نبود
تیم کلیف یافتههای خود را در قالب یک گزارش فنی و ۵۵ صفحهای تدوین کرد و آن را بهصورت حضوری در «اپل پارک» کوپرتینو به مدیران اپل تحویل داد. آنها همچنین یک ویدیوی ۲۰ ثانیهای از لحظهی اجرای موفقیتآمیز نفوذ در سطح کرنل منتشر کردهاند؛ اما جزئیات فنی گزارش تا زمان انتشار بستهی امنیتی توسط اپل محرمانه باقی خواهد ماند.
یکی از سخنگویان اپل در واکنش به اتفاق پیشآمده به والاستریت ژورنال گفت: «امنیت بالاترین اولویت ماست و ما گزارشهای مربوط به آسیبپذیریهای احتمالی را بسیار جدی میگیریم.» گفته میشود اپل بهسرعت در حال بررسی و رفع این مشکل است.
زنگ خطری برای امنیت ملی
محققان امنیتی معتقدند که این رویداد تنها یک باگبانتی ساده نیست؛ بلکه ورود به عصر تازهای محسوب میشود که از آن با عنوان «آخرالزمانِ باگهای هوش مصنوعی» یاد میکنند. سیستم دفاعیِ اپل در دنیای پیش از Mythos طراحی شده بود و حالا توانایی هوش مصنوعی آنتروپیک در درهمشکستن چنین سیستمی، زنگ خطر را در سطح کلان به صدا درآورده است.
همانطور که تیم ارزیابی امنیتی آنتروپیک در هفتهی جاری بهصراحت تأیید کرد، این توانمندیها دیگر صرفا بحث مرتبط با منابع پردازشی نیستند؛ بلکه بهطور مستقیم به مقولهی امنیت ملی و استراتژیهای دفاعی کشورها گره خوردهاند و نشان میدهند که قابلیتهای هوش مصنوعی تا چه حد میتوانند معادلات امنیت سایبری را در جهان تغییر دهند.