今年 3 月的某一天，你的 iPhone 悄悄地自己更新了一次。

這次更新，既沒(méi)彈出通知，也不會(huì)在系統(tǒng)更新菜單里體現(xiàn)，你甚至不需要點(diǎn)「同意」。要不是這篇文章，你或許壓根不知道有過(guò)這么一次更新。

記憶里蘋(píng)果過(guò)去沒(méi)這么干過(guò)。考慮到「庫(kù)克桌上的小按鈕」這個(gè)都市傳說(shuō)，估計(jì)有人要懷疑，蘋(píng)果莫非又在偷偷搞「計(jì)劃報(bào)廢」了？

放寬心，情況并沒(méi)那么嚴(yán)重……這次推送的其實(shí)是個(gè)安全補(bǔ)丁，修復(fù)了可以讓惡意網(wǎng)站繞過(guò)瀏覽器安全邊界的 WebKit 漏洞。

但正如前面提到，這次更新沒(méi)有走正常的系統(tǒng)更新流程，而是在聯(lián)網(wǎng)的情況下，直接靜默推送并安裝了。當(dāng)然，蘋(píng)果也沒(méi)有故意藏著掖著，官方網(wǎng)站上會(huì)有詳細(xì)的日期和漏洞記錄。

其實(shí)，這是是蘋(píng)果的全新的安全推送機(jī)制「后臺(tái)安全改進(jìn)」Background Security Improvements，首次發(fā)揮作用。

過(guò)去十幾年里，任何科技產(chǎn)品的安全更新，走的都是傳統(tǒng)的流程：匯報(bào)/發(fā)現(xiàn)漏洞，開(kāi)發(fā)補(bǔ)丁，打包進(jìn)下一個(gè)系統(tǒng)版本，推送，等用戶(hù)點(diǎn)同意下載、安裝并重啟。

這個(gè)邏輯，已經(jīng)很多年沒(méi)變過(guò)了，也沒(méi)有任何改變的需要：If it ain't broken, don't fix it. 如果沒(méi)有壞，為什么要改變？

但邏輯成立有一個(gè)前提：攻擊方和防守方的速度大致對(duì)等。

現(xiàn)在的問(wèn)題是，隨著 AI 技術(shù)的進(jìn)步，節(jié)奏開(kāi)始變得越來(lái)越快：漏洞發(fā)現(xiàn)變快了，被濫用甚至大規(guī)模使用更快。留給科技公司給產(chǎn)品打補(bǔ)丁的窗口期越來(lái)越短。

科技公司們，也開(kāi)始跟不上自己創(chuàng)立的新時(shí)代了。

2023 年，蘋(píng)果曾經(jīng)在 iOS 16 上做過(guò)一個(gè)「快速安全響應(yīng)」的機(jī)制，能夠靜默完成安全升級(jí)。不過(guò)，該功能推出之后并沒(méi)有沒(méi)有有效利用，中間還有一次因?yàn)橥扑土隋e(cuò)誤的代碼，導(dǎo)致一些網(wǎng)站無(wú)法正常顯示，結(jié)果那次更新很快就撤回了，這個(gè)機(jī)制后來(lái)也沒(méi)有再使用過(guò)。

但這次不一樣了。今年，蘋(píng)果從 iOS/iPadOS/macOS 26.1 版本開(kāi)始啟用「后臺(tái)安全改進(jìn)」政策，第一次實(shí)際投入使用，則是在 iOS 26.3 下的小版本上，也即開(kāi)頭提到的 WebKit 漏洞修補(bǔ)。

其原理大概如下：把 Safari、WebKit 等這些最容易被攻擊的組件，給單獨(dú)剝離出來(lái)，放進(jìn)可以獨(dú)立更新的加密磁盤(pán)鏡像，從而繞開(kāi)整個(gè)常規(guī) OTA 流程。

「后臺(tái)安全改進(jìn)」的官方說(shuō)明其實(shí)寫(xiě)的很簡(jiǎn)單，但通常字少事大。蘋(píng)果的邏輯很明確：在今天這個(gè)時(shí)代，安全這件事不能等，必須加速。

時(shí)間再撥回本周：蘋(píng)果加入了現(xiàn)如今最當(dāng)紅的 AI 巨頭公司 Anthropic 發(fā)起的 Glasswing 計(jì)劃，拿到了該公司最新，同時(shí)也是迄今為止最重磅的大模型 Mythos 的使用權(quán)。

這個(gè)模型能做很多事，但最擅長(zhǎng)的能力之一，就是在那些每天數(shù)以?xún)|萬(wàn)計(jì)用戶(hù)使用的產(chǎn)品里，發(fā)現(xiàn)那些藏得最深但從未被此前任何方式發(fā)現(xiàn)的代碼漏洞。

正式啟用「后臺(tái)安全改進(jìn)」，和加入 Glasswing 計(jì)劃，相隔不到一個(gè)月的這兩件事放在一起，你應(yīng)該能看出蘋(píng)果有多看重安全了：

要知道，安全以及隱私是蘋(píng)果最大的敘事主題，它必須盡最大努力去做好安全——哪怕是「瞞著用戶(hù)」也要這么做。

從 Mythos 里面，蘋(píng)果能得到什么？

Glasswing 計(jì)劃的成員包括蘋(píng)果、亞馬遜、谷歌、微軟、英偉達(dá)、思科、Palo Alto Networks、Linux 基金會(huì)等頂級(jí)公司和機(jī)構(gòu)，另有 40 多個(gè)組織獲得擴(kuò)展訪問(wèn)權(quán)限，總計(jì)參與機(jī)構(gòu)超過(guò) 50 家。

Mythos 是 Anthropic 目前最強(qiáng)的模型，所以你可以把 Glasswing 理解為 A 社拉了一個(gè)「內(nèi)測(cè)群」……

這個(gè)模型沒(méi)有公開(kāi)發(fā)布，甚至連最頂級(jí)的付費(fèi)用戶(hù)（個(gè)人或企業(yè)）都暫時(shí)用不上。這在 AI 行業(yè)是非常罕見(jiàn)的，要知道放在任何其他公司，都會(huì)忍不住會(huì)把最新模型用最快速度推向市場(chǎng)，以獲得更多的收入（為此甚至不惜給老模型降智、砍算力）。

A 社決定不第一時(shí)間全量開(kāi)放 Mythos，提供的官方理由是：他們判斷這個(gè)模型的能力可能越過(guò)了某條紅線。

根據(jù) Mythos 模型卡提供的信息，A 社并沒(méi)有專(zhuān)門(mén)訓(xùn)練它去做安全用途，而是因?yàn)榇a能力實(shí)在太強(qiáng)，進(jìn)而導(dǎo)致 Mythos 涌現(xiàn)出了強(qiáng)大的攻防能力。

專(zhuān)門(mén)負(fù)責(zé)找破綻的 A 社紅隊(duì)，主動(dòng)誘導(dǎo) Mythos 從隔離的測(cè)試沙盒里「逃脫」，結(jié)果它還真發(fā)現(xiàn)了沙盒有一條設(shè)置錯(cuò)誤的規(guī)則（并非人為設(shè)計(jì)，是真的疏忽），于是順著這條路獲取了特權(quán)，突破出站過(guò)濾，然后給研究員發(fā)了一封郵件，告知任務(wù)完成。

除了一開(kāi)始的誘導(dǎo)提示詞之外，沒(méi)有人提供實(shí)質(zhì)性的指導(dǎo)，模型自己完成了整個(gè)偵察、滲透、出逃的行為鏈。

A 社在報(bào)告里專(zhuān)門(mén)說(shuō)明，這僅僅證明了 Mythos 大模型的能力超出預(yù)期，并不意味著它具備了某種自主意志（不論善良中立抑或邪惡）。

但與此同時(shí)，Mythos 會(huì)拒絕 96.7% 的明確惡意請(qǐng)求，以及 93% 不到的攻防雙重用途請(qǐng)求——這仍然意味著，在 3-7% 不等的情況下，惡意請(qǐng)求可能會(huì)被執(zhí)行。

而考慮到 Claude 月均 25 億 API 調(diào)用，換算日均約 8.3 億次調(diào)用——個(gè)位數(shù)百分點(diǎn)的比例，仍然可以換算為每天可能會(huì)有海量的惡意請(qǐng)求會(huì)被放過(guò)去、執(zhí)行。哪怕只有一條成功了，都有可能造成糟糕的后果。

模型能力之強(qiáng)，已經(jīng)真實(shí)地引發(fā)了它的創(chuàng)造者，以及整個(gè)科技世界的擔(dān)憂(yōu)。

于是，A 社提出了 Glasswing 這個(gè)「內(nèi)測(cè)計(jì)劃」：與其把 Mythos 鎖進(jìn)保險(xiǎn)柜，不如讓潛在暴露風(fēng)險(xiǎn)最高的巨頭公司和機(jī)構(gòu)們先拿到它，掃描自己產(chǎn)品里的漏洞，在更大范圍擴(kuò)散之前把洞堵上。

為此計(jì)劃，A 社將會(huì)投入 1 億美元的使用額度（本質(zhì)上就是給內(nèi)測(cè)伙伴提供 API 額度補(bǔ)貼），另外捐出 400 萬(wàn)美元給開(kāi)源安全組織。

蘋(píng)果拿到這個(gè)訪問(wèn)權(quán)限，掃描的對(duì)象是 iPhone 和 Mac，是 iOS、macOS、Safari——每天數(shù)以十億計(jì)用戶(hù)在使用的產(chǎn)品和操作系統(tǒng)。

蘋(píng)果為什么看重 Mythos？它自己的安全團(tuán)隊(duì)不夠格嗎？當(dāng)然絕非如此。

問(wèn)題在于：

• 一個(gè)典型的安全研究員，對(duì)于系統(tǒng)安全有深刻的理解，但他可能不像 iOS/Unix/內(nèi)核的工程師那樣，對(duì)于專(zhuān)精的技術(shù)棧、某種具體的編程語(yǔ)言，有足夠深的理解；
• 反之亦然，一個(gè)專(zhuān)精于 iOS/Unix/內(nèi)核的工程師，能用自己的技術(shù)棧和熟練語(yǔ)言寫(xiě)出合格的代碼，但仍然難免留下漏洞。
• 更別提今后的工程師遇到 bug，甚至都不用 Stack Overflow了，直接 Claude Code 就行，能力的全面性大不如前。

正如前面提到，Mythos 的攻防能力，來(lái)自于強(qiáng)大的代碼能力。代碼也強(qiáng)，攻防也強(qiáng)，相當(dāng)于既是專(zhuān)業(yè)的 iOS 開(kāi)發(fā)者，也是頂級(jí)的安全研究員。

兩手一起抓，兩手都很硬：這才是蘋(píng)果真正看重的東西。

窗口正在關(guān)閉

Mythos 的戰(zhàn)績(jī)可查：在每一個(gè)主流操作系統(tǒng)，和每一個(gè)主流瀏覽器里，它都已經(jīng)發(fā)現(xiàn)了此前未知的高危漏洞，總數(shù)達(dá)到數(shù)千個(gè)。其中超過(guò) 99% 在報(bào)告發(fā)布時(shí)仍未修復(fù)，正在走協(xié)調(diào)披露的流程。

這其中就有 OpenBSD。作為開(kāi)源世界里公認(rèn)安全標(biāo)準(zhǔn)最高的操作系統(tǒng)之一，OpenBSD 是很多防火墻和關(guān)鍵基礎(chǔ)設(shè)施的底層系統(tǒng)，其代碼庫(kù)長(zhǎng)期處于全球安全研究員的持續(xù)審計(jì)之下。

但是，Mythos 輕而易舉地在其 TCP 協(xié)議里發(fā)現(xiàn)一個(gè)整數(shù)溢出漏洞，存在了長(zhǎng)達(dá) 27 年之久但此前從未被發(fā)現(xiàn)，所花費(fèi)的算力成本不足 50 美元。

OpenBSD 可能離你太遠(yuǎn)，F(xiàn)Fmpeg 應(yīng)該足夠近了，它是幾乎所有視頻播放 App 的底層基礎(chǔ)，每一個(gè)帶有視頻播放功能的應(yīng)用，包括你正在看這篇文章用的微信或者瀏覽器，都內(nèi)嵌了 FFmpeg 或其衍生技術(shù)。

Mythos 在 FFmpeg 的 H.264 解碼器里找到了一個(gè)存在超過(guò) 16 年的 bug。自動(dòng)化測(cè)試工具此前已對(duì)該代碼路徑運(yùn)行了上百萬(wàn)次檢查，也是從沒(méi)發(fā)現(xiàn)問(wèn)題的存在。

你的蘋(píng)果設(shè)備瀏覽器多少都會(huì)利用 WebKit，你的路由器同樣可能依賴(lài)某個(gè) BSD 變種運(yùn)行，短視頻產(chǎn)品更是無(wú)處不在……這些軟件、技術(shù)，存在于我們每天都在使用的手機(jī)、電腦等各種設(shè)備當(dāng)中。

每臺(tái)設(shè)備，每個(gè)人都會(huì)成為攻擊對(duì)象，這絕對(duì)不是危言聳聽(tīng)了。安全這件事，現(xiàn)如今真的和每個(gè)人相關(guān)，而且關(guān)系從未如此緊密。

漏洞本身不是新鮮事。每年被登記在冊(cè)的 CVE 漏洞編號(hào)數(shù)以萬(wàn)計(jì)。安全行業(yè)的人對(duì)這件事，早已形成了習(xí)以為常的應(yīng)對(duì)節(jié)奏。

這套節(jié)奏建立在一個(gè)前提上：攻擊者需要時(shí)間。發(fā)現(xiàn)一個(gè)漏洞，理解它的成因，寫(xiě)出可以穩(wěn)定復(fù)現(xiàn)的利用代碼，這個(gè)過(guò)程在以前需要數(shù)周到數(shù)月，高度依賴(lài)頂級(jí)安全研究員的經(jīng)驗(yàn)積累。

防守方也慢，但大家都慢，所以系統(tǒng)能維持一種緩慢的均衡：根據(jù) Verizon 的《數(shù)據(jù)泄露調(diào)查報(bào)告》，去年各種已知漏洞修復(fù)時(shí)間的中位值是一個(gè)月。

一個(gè)月，成了多年以來(lái)行業(yè)默認(rèn)接受的風(fēng)險(xiǎn)敞口。然而，強(qiáng)有力的大模型今天已經(jīng)將防守方的時(shí)間窗口壓縮到以小時(shí)計(jì)：

以 Mythos 對(duì) Linux 系統(tǒng)的漏洞利用為例，從自主完成偵察、漏洞分析、構(gòu)建代碼，完成 Linux 內(nèi)核的提權(quán)——整個(gè)過(guò)程用時(shí)只用了半天左右，算力成本僅用了 2000 美元。

換成人類(lèi)安全研究員，卻要花至少一個(gè)人月（真實(shí)場(chǎng)景下可能需要多人）的薪資成本，才能完成這個(gè)修復(fù)。

但現(xiàn)在，我們沒(méi)有時(shí)間了。

蘋(píng)果的兩步棋

現(xiàn)在你應(yīng)該明白，蘋(píng)果為什么要繞過(guò)你直接打補(bǔ)丁了。

正如前面提到，傳統(tǒng)的 OTA 周期天然存在延遲。內(nèi)外部人員發(fā)現(xiàn)漏洞，蘋(píng)果開(kāi)始開(kāi)發(fā)修復(fù)代碼，把它打包進(jìn)一個(gè)完整的系統(tǒng)更新，走測(cè)試、審核、推送流程，最后等用戶(hù)在某個(gè)方便的時(shí)刻點(diǎn)擊安裝——整個(gè)周期通常需要幾周時(shí)間。

以前合理的東西，現(xiàn)在不合理了。蘋(píng)果可能早在 2023 年就已經(jīng)意識(shí)到了這一點(diǎn)。今年正式上線的「后臺(tái)安全改進(jìn)」，是蘋(píng)果的最直接回應(yīng)。

而成為 Glasswing 計(jì)劃的核心合作伙伴，更是蘋(píng)果在 AI 時(shí)代，提前布局安全的工作體現(xiàn)。「后臺(tái)安全改進(jìn)」讓推送補(bǔ)丁的周期變短，用上大語(yǔ)言模型，解決的則是推送修復(fù)的前置工作——發(fā)現(xiàn)漏洞和生成補(bǔ)丁。

AI 的新時(shí)代，帶來(lái)了新的威脅。整個(gè)安全響應(yīng)鏈條，從發(fā)現(xiàn)到修復(fù)到推送，每一個(gè)環(huán)節(jié)都需要提速。

好在，大模型本身也可以被看作一種「平權(quán)」，只要能夠支付得起 token 費(fèi)用，無(wú)論巨頭公司還是中小企業(yè)，甚至個(gè)人開(kāi)發(fā)者，都能夠借助其力量來(lái)讓自己的產(chǎn)品變得更安全。

更何況模型的商品化趨勢(shì)極為顯著。或許在不久的將來(lái)，取得同樣效果，只需要幾十甚至上百分之一的成本（Mythos 費(fèi)用是 $25/$125 每百萬(wàn) token）。

然而，道高一尺，魔高一丈。只要有新的技術(shù)出現(xiàn)，就會(huì)出現(xiàn)新的攻擊面。安全的貓鼠游戲從來(lái)沒(méi)有真的結(jié)局，魔與道的交手永不停歇。