Linux 内核四连击、Windows 防线全线崩溃、苹果 5 年 10 亿打造的硬件金库 5 天被击穿。AI 不是未来的威胁,而是现在的工具。
零、前言:这不是普通的漏洞月
2026 年 4-5 月,安全行业经历了一场前所未有的风暴。
Linux 内核一个月内曝出四个高危本地提权漏洞。Windows Defender——那个本该保护你的东西——被变成攻击者的武器。苹果耗资 5 年、投入 10 亿美元为 M5 芯片打造的硬件级内存防线 MIE,被 3 个安全研究员 + Anthropic 的 AI 工具 Mythos 用 5 天击穿。
更深层的变化是:AI 开始大规模参与漏洞发现。从 Theori 研究员用 AI 审计工具发现潜伏 9 年的 Linux 内核漏洞,到 MDASH 号称用 AI 挖出 4 个 Critical RCE,再到 Anthropic 的 Mythos 被用于攻破苹果硬件防线——AI 正在从"辅助工具"变成"核心能力"。
这篇文章整理这场风暴中的关键事件,分析技术细节,并试图回答一个问题:当 AI 开始接管漏洞战场,防御者该怎么办?
一、Linux:一个月内的四连击
1.1 四连击时间线
4月29日 Copy Fail (CVE-2026-31431) AI发现,9年潜伏,732字节Python脚本提权
5月7日 Dirty Frag (CVE-2026-43284) 页缓存机制缺陷,微软确认在野利用
5月13日 Fragnesia (CVE-2026-46300) Dirty Frag家族新成员,100%成功率,绕过补丁
5月14日 ssh-keysign-pwn (CVE-2026-46333) ptrace竞态,偷SSH密钥+shadow密码
四件事,一个月。从 AI 发现 9 年潜伏漏洞,到补丁被绕过,到在野利用——这不是孤立事件,是操作系统层面的信任崩塌。
1.2 ssh-keysign-pwn:ptrace 的幽灵窗口
CVE-2026-46333,CVSS 7.8,由 Qualys 威胁研究团队于 2026 年 5 月 14 日披露。
漏洞位于 Linux 内核的 __ptrace_may_access() 函数。这个函数负责判断一个进程能否检查另一个进程,但在 task->mm == NULL 的特殊状态下,它会跳过 dumpable 检查。
这个状态出现在进程退出的短暂窗口里:进程已经释放内存(mm = NULL),但文件描述符还没关闭。当 ssh-keysign、chage 等高权限进程结束运行时,这个窗口就会出现。
攻击者利用这段极短时间,通过 pidfd_getfd() 窃取仍处于打开状态的敏感文件描述符:
- SSH 主机私钥(
/etc/ssh/ssh_host_*_key) - /etc/shadow 密码哈希
关键特征:
- 不需要 root 权限
- 不需要额外特殊许可
- 只要调用者 UID 与目标进程一致
- 100-2000 次尝试即可成功命中
- PoC 已公开(GitHub: 0xBlackash/CVE-2026-46333)
影响范围:所有稳定版 Linux 内核,包括 Arch、Debian、Ubuntu、CentOS、Raspberry Pi OS。
修复:Linus Torvalds 在披露当天就发布了补丁(commit 31e62c2ebbfd),可见严重性之高。
临时缓解:
sysctl -w kernel.yama.ptrace_scope=1
代价:普通用户无法使用调试工具。
1.3 Copy Fail:AI 发现 9 年潜伏漏洞
CVE-2026-31431,由 Theori 研究员 Taeyang Lee 通过 AI 审计工具 发现。
这是一个 Linux 内核加密子系统中的逻辑缺陷,潜伏 9 年。攻击者仅需运行一段 732 字节的 Python 脚本,即可从普通用户提权至 root,甚至实现容器逃逸。
关键特征:
- 无需竞态条件
- 无需复杂适配
- 一次触发,稳定成功
这是 AI 辅助漏洞发现的标志性案例——人类审计员 9 年没发现的问题,AI 工具几个月内定位。
1.4 Dirty Frag & Fragnesia:补丁被绕过
Dirty Frag(CVE-2026-43284),5 月 7 日披露,同属页缓存机制缺陷。微软已确认该漏洞遭黑客在野利用——从披露到在野利用,窗口极短。
Fragnesia(CVE-2026-46300),5 月 13 日,William Bowling 与 V12 团队发现。这是 Dirty Frag 漏洞家族的最新成员,通过 XFRM 子系统的 ESP-in-TCP 协议设计缺陷,实现了 100% 成功率的本地提权,且完全绕过 Dirty Frag 的补丁防护。
这意味着什么?补丁不是终点。一个漏洞家族的利用路径可以不断演化,绕过现有的修复措施。
1.5 Linux 内核四连击的深层含义
这四连击揭示了操作系统安全的一个根本问题:内核代码过于复杂,人类审计员无法覆盖所有路径。
- Copy Fail:9 年潜伏,AI 发现
- Dirty Frag:页缓存机制,补丁被绕过
- Fragnesia:绕过补丁的 100% 成功率利用
- ssh-keysign-pwn:ptrace 逻辑缺陷,竞态窗口
四个完全不同的子系统,四种完全不同的利用方式,但共同指向一个结论:Linux 内核的信任边界正在系统性崩溃。
二、Windows:防线从内部瓦解
2.1 Defender 三部曲:BlueHammer / RedSun / UnDefend
2026 年 4 月,安全研究员 Nightmare Eclipse(aka Chaotic Eclipse)发布了三个针对 Microsoft Windows Defender 的 PoC 利用工具。这不是外部攻击,而是把 Defender 变成攻击者的武器。
BlueHammer(CVE-2026-33825)
TOCTOU(Time-of-Check to Time-of-Use)竞态条件,位于 Defender 的签名更新工作流。
攻击链:
- Defender 检测到可疑文件,决定重写它
- 攻击者赢得竞态条件,重定向重写到目标位置
- 利用 VSS 快照挂载,读取 SAM 注册表 hive
- 提取 NTLM 哈希,pass-the-hash 获取本地管理员权限
- 生成 SYSTEM 级 shell
关键:不需要内核漏洞,不需要内存损坏。只是巧妙滥用 Defender 与文件系统的交互方式。
状态:已修复(2026 年 4 月 Patch Tuesday),Antimalware Platform 版本需 ≥ 4.18.26050.3011。
RedSun:无补丁,全系统有效
RedSun targeting TieringEngineService.exe,Defender 的后台进程,负责分类和优先处理检测到的威胁。
状态:截至 2026 年 5 月,无补丁。
攻击链:
- 投放包含 EICAR 测试字符串的文件(安全团队日常验证杀毒检测用的字符串)
- Defender 检测到 EICAR,启动修复周期
- RedSun 赢得竞态,重定向文件重写到
C:\Windows\System32 - Cloud Files Infrastructure 执行攻击者植入的二进制文件,作为 SYSTEM
关键:在完全打补丁的 Windows 10/11/Server 2019+ 上有效。包括已应用 2026 年 4 月 Patch Tuesday 更新的系统。
UnDefend:隐形降级
UnDefend 不是提权工具,而是防御降级工具。
在获得 SYSTEM 访问后(通过 BlueHammer 或 RedSun),攻击者部署 UnDefend:
- 逐步剥夺 Defender 的当前威胁情报
- 静默降低其检测新威胁的能力
- 同时向管理控制台报告端点为健康状态
这意味着什么?IT 团队看着控制台是绿色的,但端点实际上已经被攻破。
状态:无补丁。
攻击链实战(Huntress Labs 确认)
- 初始访问:通过无 MFA 的 VPN 账户
- 手动权限枚举
- BlueHammer 或 RedSun 部署 → SYSTEM 访问
- 二进制文件暂存到 Pictures 文件夹、Downloads 下的两字母子文件夹
- 文件名重命名以减少 VirusTotal 检测
- UnDefend 部署 → 降级 Defender 同时保持干净仪表板
2.2 YellowKey:BitLocker 的致命 bypass
CVE-2026-45585,2026 年 5 月 13 日披露(Patch Tuesday 次日)。
BitLocker 是 Windows 的全卷加密功能。假设是: stolen laptop 没有恢复密钥就不可读。YellowKey 挑战了这个假设。
攻击方式:
- 在 USB 驱动器或 EFI 分区上放置特制的 "FsTx" 文件夹
- 启动受 BitLocker 保护的 Windows 11 机器进入 Windows Recovery Environment(WinRE)
- 触发有漏洞的恢复行为
- 结果:不受限制的 shell 访问加密卷,无需恢复密钥,无需凭证
关键约束:需要物理访问。远程攻击者无法大规模利用。
影响范围:Windows 11、Windows Server 2022/2025。Windows 10 不受影响。
状态:披露时无补丁。微软发布了缓解建议(启用 TPM + PIN 双重认证)。
披露争议:Nightmare Eclipse 声称此前曾提交多项报告(BlueHammer、RedSun),但微软从未重视且表现傲慢,因此决定公开 YellowKey 以示抗议:"我本可以透过出售此漏洞获得巨额利润,但没有任何金钱能阻挡我反对 Microsoft 的决心。"
2.3 Office 八连 RCE
2026 年 5 月 Patch Tuesday,微软修复了 138 个漏洞,其中 30 个 Critical。Office 套件占据了相当一部分:
| CVE | 产品 | 类型 |
|---|---|---|
| CVE-2026-40358 | Microsoft Office | RCE |
| CVE-2026-40364 | Microsoft Word | RCE |
| CVE-2026-40359 | Microsoft Excel | RCE |
| CVE-2026-40361 | Microsoft Word | RCE |
| CVE-2026-40362 | Microsoft Excel | RCE |
| CVE-2026-40366 | Microsoft Word | RCE |
| CVE-2026-40367 | Microsoft Word | RCE |
| CVE-2026-40363 | Microsoft Office | RCE |
八个 RCE,主要类型为 Use After Free 和内存损坏。攻击者可通过恶意文档在目标系统上执行任意代码。
三、macOS:5 年 10 亿的防线,5 天被击穿
3.1 苹果的 MIE 防线
MIE(Memory Integrity Enforcement) 是苹果为 M5 和 A19 芯片设计的硬件级安全层。
- 投入:5 年,10 亿美元
- 技术:每 16 字节内存切片标记 4 位标签,与指针绑定
- 强制执行:类虚拟机监控器配置,硬件层面
- 目标:阻断绝大多数内存损坏漏洞(缓冲区溢出、Use After Free)
- 性能开销:仅 3% 内存空间,几乎不影响性能
- 基础:ARM MTE,但苹果叠加了硬件级强制检查层
苹果宣称这是根治 iOS/macOS 数十年内存损坏问题的终极方案。
3.2 3 人 + Mythos,5 天击穿
2026 年 5 月,加州安全公司 Calif 的 3 名研究员,借助 Anthropic 的 Mythos Preview 工具,仅用 5 天就成功绕过了 MIE。
这是首个公开的 M5 硬件层面内核权限绕过。
攻击特征:
- 纯数据攻击:不触发内存损坏,因此不触发 MIE 的检测机制
- AI 快速漏洞挖掘 + 人类经验精准突破
- 诱导目标用户执行特定命令,即可获得 root 权限
测试环境:Apple M5 机器,macOS 26.4.1。
3.3 深层含义
MIE 的设计假设是:内存损坏是主要攻击面。但 Calif 团队采用了纯数据攻击——不破坏内存完整性,而是操纵数据流和逻辑控制流。
这揭示了一个根本问题:硬件级防御只能防御它设计时考虑的攻击类型。当攻击者绕过防御的假设边界时,硬件本身无能为力。
更深层的问题:AI 在这里扮演了什么角色?Mythos 不是简单的模糊测试工具,它似乎能够理解代码的语义和逻辑,从而发现人类审计员难以察觉的复杂利用链。
Anthropic 已将 Mythos 纳入仅向 40 家机构开放的防御研究计划。这不是公开工具,而是受控的 AI 能力投放。
四、AI 正在接管漏洞战场
4.1 三条 AI 线索
线索一:Theori + AI 审计工具 → Copy Fail
Theori 研究员 Taeyang Lee 使用 AI 审计工具发现 Linux 内核中潜伏 9 年的逻辑缺陷。732 字节 Python 脚本,一次触发,稳定成功。
关键:AI 工具能够在海量代码中识别异常模式,而人类审计员可能因为"疲劳"或"先入为主"而忽略这些模式。
线索二:MDASH → 4 个 Critical RCE
MDASH(具体细节在搜索结果中有限)号称用 AI 挖出 4 个 Critical RCE。用户消息中提到"号称强过 Mythos,咱也不知道真的假的",说明这是一个新兴工具,能力尚未完全验证。
但方向是明确的:AI 驱动的漏洞挖掘正在从实验室走向实战。
线索三:Calif + Mythos → 击穿苹果 MIE
这是最具标志性的事件。Anthropic 的 Mythos 不是简单的代码扫描工具,而是一个能够理解复杂系统语义、发现跨组件利用链的 AI 系统。
5 天击穿 5 年 10 亿的防线——这个对比太强烈了。
4.2 AI 漏洞挖掘的范式转变
传统漏洞挖掘:
- 人工审计:慢,但深度理解
- 模糊测试:快,但盲目
- 静态分析:自动化,但误报多
AI 驱动的漏洞挖掘:
- 语义理解:AI 能够理解代码的意图,而不仅仅是语法
- 跨组件关联:AI 能够发现跨越多个子系统的复杂利用链
- 模式识别:AI 能够从大量历史漏洞中学习模式,应用于新代码
- 24/7 不间断:AI 不需要休息,可以持续审计
4.3 防御者怎么办?
当 AI 开始大规模发现漏洞,防御者面临几个根本挑战:
-
漏洞发现速度 > 修复速度:AI 可以在几天内发现漏洞,而企业需要数周甚至数月来测试和部署补丁。
-
攻击者也在用 AI:如果防御者不使用 AI,而攻击者使用,那就是不对称战争。
-
传统防御假设失效:MIE 的例子说明,硬件级防御不是银弹。攻击者可以绕过防御的假设边界。
-
零日漏洞的生命周期缩短:AI 发现漏洞的速度加快,零日漏洞的窗口期可能从"几个月"变成"几天"。
五、防御建议:在 AI 时代的生存策略
5.1 立即行动(针对本文提到的漏洞)
Linux 系统:
- 立即升级内核到最新版本(包含 commit 31e62c2ebbfd)
- 如果无法立即升级,临时设置
kernel.yama.ptrace_scope=1 - 轮换 SSH 主机密钥
- 检查
/etc/shadow是否异常访问
Windows 系统:
- 应用 2026 年 4 月和 5 月的所有 Patch Tuesday 更新
- 确认 Antimalware Platform 版本 ≥ 4.18.26050.3011
- 直接验证端点上的平台版本,不要信任控制台状态
- 使用应用控制策略阻止用户可写目录中的执行(Downloads、Pictures、Temp)
- 为 TieringEngineService.exe 建立基线哈希
- 所有 VPN 和远程访问路径强制启用 MFA
- 添加独立于 Defender 的检测层(如 Vectra AI、Managed SOC)
- 对于 BitLocker:启用 TPM + PIN 双重认证
macOS 系统:
- 等待苹果发布 MIE 补丁(已确认正在开发)
- 限制用户执行未知命令的权限
- 监控异常的 root 权限获取行为
5.2 战略层面:在 AI 时代重构防御
1. 假设 breach(假设已 breached)
不要假设防线能阻止所有攻击。设计防御体系时,假设攻击者已经获得初始访问权限。
2. 多层独立检测
单一端点检测工具(如 Defender)被攻破后,整个检测层就失效了。需要:
- 网络层检测(不依赖端点代理)
- 身份层检测(监控异常登录和行为)
- 独立日志分析(SIEM 不依赖被监控端点的数据完整性)
3. AI 对 AI
防御者必须采用 AI 工具来对抗 AI 驱动的攻击。这包括:
- AI 辅助的代码审计
- AI 驱动的异常行为检测
- AI 生成的威胁情报分析
4. 缩短补丁周期
当漏洞发现速度加快,补丁周期必须缩短。这意味着:
- 更频繁的补丁测试和部署
- 自动化补丁验证
- 分阶段部署(Canary 部署)
5. 零信任架构
不再信任任何内部组件,包括操作系统自身的安全工具。Defender 被攻击的例子说明:安全工具本身也可能成为攻击目标。
六、结语:风暴才刚刚开始
2026 年春夏的安全风暴不是终点,而是起点。
Linux 内核的四连击展示了操作系统层面的系统性脆弱性。Windows Defender 的沦陷展示了"安全工具本身也可能被武器化"。苹果 MIE 的击穿展示了"硬件级防御不是银弹"。
但最深层的变化是AI 的介入。从 Copy Fail 到 Mythos,AI 工具正在改变漏洞发现的规模和速度。这不是"未来可能发生的威胁",而是正在发生的现实。
对于防御者来说,好消息是:AI 也是防御工具。坏消息是:攻击者也在用 AI。
这场风暴的真正启示是:安全行业必须从"修补漏洞"转向"假设 breach 并快速检测/响应"。当漏洞发现速度超过修复速度时,唯一可行的策略是减少攻击者的停留时间,限制横向移动,并在损害发生前检测异常。
打补丁很重要。但打补丁不够了。
参考
- Linux 内核漏洞:CVE-2026-46333 (ssh-keysign-pwn), CVE-2026-31431 (Copy Fail), CVE-2026-43284 (Dirty Frag), CVE-2026-46300 (Fragnesia)
- Windows 漏洞:CVE-2026-33825 (BlueHammer), CVE-2026-45585 (YellowKey), Office RCEs (CVE-2026-40358~40367)
- macOS 漏洞:MIE bypass by Calif + Mythos
- AI 工具:Anthropic Mythos, Theori AI 审计工具, MDASH
- 研究团队:Qualys TRU, Theori, Calif, Nightmare Eclipse / Chaotic Eclipse
- 参考来源:Vectra.ai, Huntress Labs, BleepingComputer, HelpNetSecurity, IT之家, 看雪学苑
#安全漏洞 #Linux #Windows #macOS #AI安全 #网络安全 #提权 #RCE #BitLocker #Defender #MIE #Mythos #零日漏洞 #补丁管理
讨论回复
加载中...正在加载回复...
推荐
智谱 GLM-5 已上线
我正在智谱大模型开放平台 BigModel.cn 上打造 AI 应用,智谱新一代旗舰模型 GLM-5 已上线,在推理、代码、智能体综合能力达到开源模型 SOTA 水平。