Apple julkaisi macOS Tahoe 26.5 -tietoturvapäivityksen ja kuittasi sen yhteydessä CVE-2026-28952-haavoittuvuuden. Apple nimeää löytäjäksi vietnamilaisen Calif.io-tutkimusyhtiön yhteistyössä Anthropicin Claude-mallin ja Anthropic Researchin kanssa.
Sama tiimi kertoo rakentaneensa viidessä päivässä toimivan hyökkäyksen, joka kiertää Apple M5 -piirin Memory Integrity Enforcement -suojauksen. Kyseessä on ensimmäinen julkinen macOS-ytimen muistinkorruption ketju, joka selviää MIE-suojauksesta bare-metal-laitteistossa.
Calif.io kokosi hyökkäysketjun Mythos-mallin avulla
Calif.io kertoo löytäneensä ensimmäiset bugit 25. huhtikuuta. Tiimi yhdisti voimansa kaksi päivää myöhemmin, ja toukokuun 1. päivänä hyökkäysketju antoi täydet root-oikeudet rajoitetulle paikalliselle käyttäjälle.
Tutkijat Bruce Dang, Dion Blazakis ja Josh Maine käyttivät Anthropicin Mythos Preview -mallia bugien tunnistamiseen ja itse hyökkäyksen rakentamiseen. Cybersecuritynews.comin haastattelussa tiimi kertoo Mythoksen löytäneen aukot nopeasti, koska ne kuuluvat tunnettuihin bugiluokkiin.
MIE-suojauksen ohittaminen vaati silti ihmisen osaamista. Kokeneet kerneltutkijat työstivät mallin ehdotuksia muistinhallinnan rajoilla, joiden kanssa pelkkä tekstipohjainen päättely ei pärjää yksinään.
Apple kuittasi löydön virallisesti uudessa tietoturvapäivityksessä
Applen tietoturvasivu listaa CVE-2026-28952:n macOS Tahoe 26.5 -päivityksen yhteydessä. Korjaus tuli myös macOS Sequoia 15.7.7:ään, macOS Sonoma 14.8.7:ään sekä iOS- ja iPadOS-versioon 18.7.9.
NIST National Vulnerability Database julkaisi tiedot 11. toukokuuta. Vian luokitus on CWE-190 eli kokonaisluvun ylivuoto. Kuvauksen mukaan sovellus voi kaataa järjestelmän odottamattomalla tavalla.
Tekninen korjaus liittyy syötteen validointiin. Applen oman kuvauksen mukaan parempi tarkistus estää ylivuodon, joka altisti ytimen muistinkorruptiolle.
Memory Integrity Enforcement rakennettiin viidessä vuodessa
Apple kehitti Memory Integrity Enforcement -suojausta viisi vuotta ja esitteli sen M5-piirin yhteydessä. Suojaus käyttää piirin tason muistitageja estämään käytön jälkeisiä virheitä, joita perinteinen ohjelmistopohjainen suojaus ei tunnista ajossa.
Calif.io kuvaa viiden päivän aikaikkunaa tärkeänä mittapaikkana tekoälyavusteiselle hyökkäystutkimukselle. Vastaava kerneltutkimus on aiemmin vienyt kuukausia ja sitonut kymmeniä henkilötyöviikkoja.
Tiimi luovutti raporttinsa kasvotusten Apple Parkissa Cupertinossa. He välttivät tavanomaista bug bounty -jonoa, jotta löytö ei jäisi ruuhkautuneen tarkastusprosessin alle. Apple korjasi virheen 26.5-päivityksessä ja kirjasi kunnian tekijöille.
Tekoälyavusteinen tietoturvatutkimus muuttaa pelikenttää
Anthropic on aiemmin käyttänyt Claude Mythos Preview -mallia sisäisissä alignment-auditeissaan. Calif.io-tapaus on yksi ensimmäisistä julkisista esimerkeistä, joissa sama malli löytää tuotannossa olevan vakavan ytimen haavoittuvuuden.
Hacker News -keskustelussa pohdittiin, alkavatko yritykset budjetoida tokeneita jatkuvaa tietoturva-auditointia varten. Useat kommentoijat ennakoivat, että koodikantaa ympäri vuorokauden tutkivien agenttien myynti kiihtyy seuraavan vuoden aikana.
Vaikutus näkyy myös puolustajien puolella. Apple, Microsoft ja Google joutuvat sopeutumaan tilanteeseen, jossa hyökkääjien työsyklit lyhenevät. Pidempien LTS-päivitysten merkitys kasvaa, koska samat agentit voivat auttaa myös korjausten taakseen porttauksessa.
Yhteenveto
CVE-2026-28952 on dokumentoitu merkkipaalu tekoälyn ja ihmisen yhteispelistä offensiivisessa tietoturvatutkimuksessa. Apple kuittasi löydön nopeasti, ja päivitys on saatavilla niin Tahoe 26.5:ssä kuin pitkäkestoisemmissa Sequoian ja Sonoman versioissa.
Käyttäjien kannattaa päivittää järjestelmänsä mahdollisimman pian. Tarinan pidempi opetus koskee organisaatioita: tekoälyavusteinen löydös on viiden päivän pyrähdys, ei vuosien projekti, ja tietoturvabudjetit eivät vielä heijasta tätä muutosta.