Mythos Preview di Anthropic ha contribuito a esporre vulnerabilità nel kernel di macOS su M5

Apple ha introdotto Memory Integrity Enforcement come una delle caratteristiche di rilievo dei chip M5 e A19: al debutto la Mela aveva spiegato come si trattasse di un sistema di protezione hardware-assisted contro la corruzione della memoria, la classe di vulnerabilità alla base delle compromissioni più sofisticate su iOS e macOS. Il lavoro di progettazione di Memory Integrity Enforcement aveva richiesto cinque anni. A maggio 2026, la security startup Calif ha dimostrato che quella protezione può essere aggirata, con un exploit funzionante completato in cinque giorni.

Il team ha consegnato di persona ad Apple Park di Cupertino un report tecnico di 55 pagine il 14 maggio, preferendo la consegna fisica per non perdersi, come scritto nel proprio blog, nel flusso di submission dell'ultimo Pwn2Own. Apple ha confermato di star revisionando e validando i risultati, senza però indicare se una patch sia già in preparazione.

MIE: cinque anni di sviluppo hardware

Memory Integrity Enforcement è costruito su Memory Tagging Extension (MTE), specifica ARM del 2019 che assegna a ogni allocazione di memoria un tag segreto: un accesso successivo con tag non corrispondente causa un crash immediato, rendendo statisticamente molto più costoso sfruttare bug di corruzione della memoria. Apple ha esteso e rafforzato MTE sviluppando MIE in cinque anni, portandolo prima su iPhone 17 e iPhone Air, poi con il chip M5 anche sui MacBook. Va ribadito che, fino a questa dimostrazione, MIE aveva interrotto ogni catena exploit pubblica contro iOS moderno, inclusi i kit Coruna e Darksword emersi di recente: nessuna exploit di kernel memory corruption aveva mai superato questa difesa su hardware M5.

L'exploit: due vulnerabilità, cinque giorni

L'attacco di Calif è una "data-only kernel local privilege escalation chain" (una catena che non inietta codice arbitrario ma manipola dati esistenti per alterare il controllo del sistema) che prende di mira macOS 26.4.1 su hardware M5 bare-metal con MIE kernel abilitato. Il punto di partenza è un account locale senza privilegi: la catena concatena due vulnerabilità distinte con diverse tecniche aggiuntive per corrompere la memoria del kernel, accedere a zone normalmente inaccessibili e terminare con una root shell, raggiunta usando sole system call standard. È la prima exploit pubblica di questo tipo a sopravvivere su hardware con MIE abilitato, secondo quanto dichiara il team nel proprio blog.

La timeline di sviluppo è piuttosto breve: Bruce Dang ha identificato i bug il 25 aprile, Dion Blazakis è entrato nel progetto il 27 aprile e Josh Maine ha sviluppato il tooling che ha portato il 1° maggio ad avere un exploit funzionate. Il percorso di attacco su macOS, come il team scrive esplicitamente nel blog, è stato una scoperta accidentale poiché l'obiettivo originale di Calif era iOS.

Il ruolo di Mythos Preview

In quanto ottenuto dai ricercatori di Calif c'è lo zampino di Mythos Preview di Anthropic, che ha aiutato a identificare i bug e ha assistito lungo l'intera fase di sviluppo dell'exploit. Il modello, secondo quanto scritto da Calif, generalizza rapidamente una classe di attacco nota a qualsiasi problema di quella stessa classe: i bug individuati appartengono a classi già documentate, ragione per cui Mythos li ha trovati in tempi brevi. Aggirare MIE autonomamente è però più complesso, ed è qui che la competenza umana è rimasta indispensabile. Thai Duong, CEO di Calif, ha dichiarato al Wall Street Journal che l'attacco non sarebbe stato possibile senza i ricercatori umani che hanno lavorato in parallelo all'AI.

Ricordiamo che Mythos Preview non è un modello accessibile al pubblico. Anthropic lo ha distribuito ad aprile esclusivamente a partner selezionati tramite Project Glasswing, un'iniziativa di sicurezza difensiva rivolta ad aziende tecnologiche, banche e istituzioni di ricerca. Apple ha aderito al programma. Mozilla ha comunicato che il modello ha identificato 271 vulnerabilità in Firefox durante test interni. L'AI Security Institute del Regno Unito ha verificato che Mythos Preview è in grado di completare autonomamente simulazioni di cyberattacco multi-stage complesse. Anthropic aveva già avvertito pubblicamente che le capacità del modello nel trovare exploit erano tali da renderne la release pubblica un rischio per l'infrastruttura digitale globale.

Implicazioni

Il quadro che emerge da questa vicenda, così come da altre situazioni in cui un modello AI è stato funzionale alla scoperta di vulnerabilità passate inosservate, è quello di una compressione drastica del ciclo di sviluppo di exploit avanzati quando un modello frontier viene affiancato da ricercatori specializzati. Il fatto che una startup con tre ingegneri abbia impiegato cinque giorni per costruire la prima exploit pubblica su MIE è già, di per sé, un dato che riformula le assunzioni sulla velocità con cui una vulnerabilità sfruttabile può essere sviluppata. Non si può non sottolineare che MIE era stata costruita in un'epoca in cui questo tipo di approccio operativo non esisteva come fattore concreto. E' comunque bene evidenziare che il modello non ha agito da solo e che il vettore richiede accesso locale non privilegiato come precondizione. La divulgazione della vulnerabilità è avvenuta in modo responsabile prima che potesse essere sfruttata da attori ostili.