أعلن فريق الأبحاث الأمنية في Calif تطوير ما وصفه بأنه أول استغلال علني من نوع تلف الذاكرة في نواة نظام macOS على شريحة Apple M5، وذلك بالاستعانة بنموذج الذكاء الاصطناعي Mythos Preview من Anthropic، حيث نجح الاستغلال في تجاوز آلية الحماية العتادية المفعلة (MIE).
وبحسب ما نشره الفريق في 14 مايو 2026، استهدف مسار الهجوم نظام macOS 26.4.1 (25E253)، وانطلق من مستوى مستخدم محلي غير مميز باستخدام استدعاءات نظام عادية، لينتهي بالحصول على واجهة أوامر (shell) بصلاحيات الجذر (Root). وأوضح الفريق أن هذا الاستغلال ارتكز على ثغرتين ومجموعة تقنيات ضمن سلسلة تصعيد امتيازات محلية؛ إذ ركزت العملية على التلاعب بالبيانات داخل النواة دون تعديل بيانات التعليمات البرمجية بشكل مباشر.
وتكمن أهمية هذا الإعلان في كون آلية MIE تمثل إحدى أبرز طبقات الحماية الحديثة التي تعتمد عليها Apple لمواجهة هجمات تلف الذاكرة، وهي مصممة استناداً إلى مفهوم وسم الذاكرة على مستوى العتاد. وتُشير التغطيات التقنية المتخصصة إلى أن Apple قدمت هذه الآلية لتجعل استغلال هذا النوع من الثغرات أكثر صعوبة وتعقيداً وليس مستحيلاً، لا سيما عند توفر الثغرات المناسبة والخبرة البشرية القادرة على ربطها في سلسلة هجومية فعالة.
وكشفت Calif أن اكتشاف مسار الهجوم بدأ عندما عثر الخبير بروس دانغ على الثغرات في 25 أبريل 2026، لينضم إليه ديون بلازاكيس في 27 أبريل، في حين تولى جوش مين تطوير أدوات الاستغلال، وصولاً إلى بناء استغلال برمي عامل بحلول الأول من مايو. وذكرت الشركة أنها شاركت تقريراً بحثياً مع شركة Apple في مقرها، مؤكدة حجب التفاصيل التقنية الكاملة، والتي تتضمن تقريراً مؤلفاً من 55 صفحة، إلى حين إصدار Apple الإصلاحات الأمنية اللازمة.
ويثير الجانب المتعلق بالذكاء الاصطناعي في هذه العملية الانتباه بقدر يوازي الجانب التقني؛ حيث أكد الفريق أن نموذج Mythos Preview ساعد في تحديد الثغرات ودعم مراحل تطوير الاستغلال. ومع ذلك، أشار الفريق إلى أن تجاوز آلية MIE لم يكن عملية آلية بالكامل، بل ظلت الخبرة البشرية عنصراً جوهرياً للتعامل مع هذه الطبقة الدفاعية الجديدة والمعقدة. وهو ما ركزت عليه أيضاً تقارير منصتي 9to5Mac وTechRadar، مبينة أن النموذج ساهم في تسريع وتيرة البحث والربط بين الثغرات، لكنه عمل كأداة مساعدة وضمن سياق فريق أمني متخصص.
وحتى الآن، لا تتوفر تفاصيل عامة كافية تتيح تقييم قابلية تنفيذ هذا الاستغلال خارج البيئة المختبرية، أو تحديد نطاق الأجهزة والإصدارات المتأثرة بدقة كاملة. ونظراً لأن الهجوم يصنف ضمن فئة تصعيد الامتيازات المحلي، فإن المهاجم يحتاج أولاً إلى القدرة على تنفيذ كود برمي على الجهاز المستهدف قبل محاولة الوصول إلى الصلاحيات العليا. ورغم ذلك، فإن نجاح هذه السلسلة الهجومية على عتاد M5 مع تفعيل آلية MIE يفتح نقاشاً أوسع حول سرعة تطور أبحاث الثغرات عندما تتقاطع النماذج الذكية المتقدمة مع خبرات فرق الاختبار الهجومي.
