Năm ngày đập tan thành trì Apple xây suốt năm năm

Cuối bài viết của mình, team Calif kết bằng một câu tiếng Việt: “nhỏ mà có võ.”

Đó là câu tôi cứ nghĩ mãi sau khi đọc hết câu chuyện này. Không phải vì nó hay - mặc dù nó hay - mà vì nó tóm gọn đúng cái nghịch lý của cả bài: một đội năm người, với một AI, trong năm ngày, vừa phá vỡ thứ tập đoàn lớn nhất thế giới về vốn hóa mất năm năm xây dựng.

Chuyện trong một câu

Một startup tên Calif, dùng AI tên Mythos Preview, vừa tạo ra exploit kernel memory corruption đầu tiên được công bố công khai trên macOS chạy chip Apple M5 - con chip Apple thiết kế đặc biệt để ngăn đúng loại tấn công này - trong năm ngày.

Năm năm vs. năm ngày

Apple bỏ khoảng năm năm phát triển MIE: Memory Integrity Enforcement. Đây là hệ thống bảo mật bộ nhớ hỗ trợ bởi phần cứng, xây trên nền ARM’s MTE (Memory Tagging Extension). Mục tiêu thiết kế rõ ràng: khiến việc khai thác lỗi memory corruption tốn kém đến mức không đáng thử.

MIE ra đời là tính năng bảo mật trọng tâm của M5 và A19. Blog bảo mật của Apple tự tin tuyên bố MIE phá vỡ mọi chuỗi exploit công khai nhắm vào iOS hiện đại, kể cả các exploit kit Coruna và Darksword vừa bị rò rỉ gần đây. Bài viết của Calif dẫn lại câu này khá bình thản: “Nhiều chuyên gia bảo mật coi thiết bị Apple là nền tảng tiêu dùng bảo mật nhất.”

Rồi Bruce Dang tìm ra hai lỗi vào ngày 25 tháng 4. Dion Blazakis gia nhập ngày 27 tháng 4. Josh Maine built tooling. Đến ngày 1 tháng 5 họ có exploit hoạt động được.

Năm ngày.

Exploit là một chuỗi data-only kernel local privilege escalation nhắm vào macOS 26.4.1 (25E253). Bắt đầu từ user không có quyền. Chỉ dùng system call bình thường. Kết thúc bằng root shell. Hai lỗ hổng. Hardware M5 thật. Kernel MIE bật đầy đủ.

user thường
      │
      │  chỉ syscall bình thường
      ▼
 bypass kernel MIE
 (hai lỗi, chuỗi data-only)
      │
      ▼
   root shell

Báo cáo kỹ thuật 55 trang đang được giữ lại cho đến khi Apple vá xong. Calif chỉ đăng ký tên miền server này một năm, nên hi vọng Apple không để quá lâu.

Vì sao bài này lên top

Hai thứ xảy ra cùng lúc.

Thứ nhất, kết quả này là lịch sử. Đây là - theo hiểu biết công khai tốt nhất hiện có - exploit kernel macOS đầu tiên chạy trên phần cứng có MIE được công bố. Cột mốc đáng kể, bất kể cách họ làm.

Thứ hai, cách họ làm thú vị hơn cả chính kết quả. Mythos Preview, AI của Calif, tự tìm ra các lỗi và hỗ trợ suốt quá trình phát triển exploit. Nhưng con người không chỉ đứng giám sát - họ cung cấp chính xác cái mà AI thiếu: chuyên môn để bypass MIE, vì MIE đủ mới để ngay cả Mythos cũng cần hướng dẫn. Câu trong bài viết khiến tôi nghĩ nhiều nhất: “Mythos tìm ra lỗi nhanh vì chúng thuộc các bug class đã biết. Nhưng MIE là mitigation mới tốt nhất, nên bypass tự động rất khó. Đây là lúc con người cần vào cuộc.”

Chuyên gia con người + AI frontier = năm ngày. Đội phần cứng Apple + năm năm = MIE.

Và cách họ bàn giao cũng không kém phần ấn tượng. Thay vì nộp qua portal, Calif lái xe đến tận Apple Park, được đưa đi tham quan (“rất nhiều cây táo, dĩ nhiên”), rồi bàn giao tay đôi một bản in laser. Lý do họ nêu: “muốn báo cáo trực tiếp, thay vì bị chôn vùi trong cơn lũ bài nộp mà một số người tham gia Pwn2Own vừa trải qua.” Chiến lược vật lý này, theo họ, “có thể cho chúng tôi lợi thế nhỉnh trong cuộc đua vĩnh cửu giành năm phút danh tiếng trên Twitter.”

HN đang tranh luận điều gì

Ba luồng chính:

Phe “Mythos có thật không?” Một commenter lập tức hỏi Mythos có còn bị hạn chế cho các tập đoàn lớn hay đã mở rộng chưa. Commenter khác viết thẳng: “Tôi tưởng Mythos chỉ là hype?” Câu hỏi hoàn toàn hợp lý - đây là model không công khai đưa ra tuyên bố phi thường. Báo cáo 55 trang khi ra sẽ giải quyết hoặc châm thêm lửa vào cuộc tranh luận.

Phe “chúng ta đều là centaur rồi”. Nhiều người khác tin kết quả ngay và bắt đầu xử lý hệ quả. “Phát hiện exploit nghiêm trọng hạng cao trong một tuần bằng cách kết hợp chuyên gia với frontier model là hành trình mới tuyệt vời mà chúng ta chuẩn bị bước vào.” Và một tự bạch thành thật: “Tôi nhận thấy mình tự tin hơn để bắt tay vào những việc tham vọng hơn gần đây. Chúng ta đều là centaur rồi.” Câu đó có thể sẽ được nhắc lại nhiều lần trong các năm tới.

Toán bounty tiền. Một người tính: như đã trình diễn, đây khoảng $100K trên nền tảng bug bounty của Apple. Nhưng đóng khung đúng cách - macOS beta, locked mode, unauthorized access - có thể lên $1.5M. Calif hiện đang hoạt động trong mô hình disclosure. Chưa phải broker market.

Điều này thay đổi gì trong bức tranh bảo mật?

Nếu bạn làm việc trong lĩnh vực…	Hệ quả thực tế
Nghiên cứu bảo mật	Khoảng cách chuyên môn đang thu hẹp. Kiến thức chuyên sâu vẫn quan trọng (con người phải hướng dẫn MIE bypass), nhưng AI rút ngắn đáng kể con đường đến “working exploit”.
Kỹ thuật nền tảng	MIE được thiết kế trong thế giới trước Mythos. Hardware mitigation sẽ cần được đánh giá trước đối thủ có AI, không chỉ con người kiên nhẫn.
Bug bounty	Tốc độ tạo ra exploit mới nhiều khả năng sẽ tăng lên. Tốc độ vá lỗi sẽ quan trọng hơn bao giờ hết.
Người dùng Mac bình thường	Đây là local privilege escalation - kẻ tấn công phải có foothold trước. Không phải zero-click từ xa. Rủi ro thật, nhưng không phải dạng “mở trang web là bị chiếm quyền”.

Cái Apple không bỏ năm tỷ đô để phòng thủ

Apple bỏ $5 tỷ xây văn phòng hình phi thuyền ở Cupertino. Văn phòng của Calif chắc chắn tốn ít hơn con số đó (rất nhiều). Nhưng một đội năm người cùng AI vừa đi xe đến Cupertino, bàn giao một bản báo cáo in laser mà sẽ ngốn của đội kỹ sư bảo mật Apple nhiều tháng công sức vá lỗi.

Bài viết của Calif kết thúc bằng một câu mà tôi nghĩ sẽ được trích dẫn nhiều trong các năm tới:

“Những đội nhỏ đột nhiên có thể làm những thứ trước đây đòi hỏi cả một tổ chức lớn. Với chiến lược và con người phù hợp, ngay cả một công ty nhỏ cũng có thể trở nên đủ mạnh để những công ty lớn nhất thế giới bắt đầu tìm đến nhờ giúp đỡ.”

Rồi họ kết bằng tiếng Việt: “nhỏ mà có võ.”

---

Thảo luận trên Hacker News · Nguồn: blog.calif.io · Bài đăng bởi quadrige