Investigadores de Ohio State publicaron detalles de "Serpent," un ataque contra la autenticación de Apple Intelligence en macOS 26.0 (Tahoe). El paper está en arxiv en 2604.15637. El diseño de autenticación de Apple usa un sistema de tokens de dos etapas (Token Granting Tokens y One-Time Tokens, emitidos vía protocolo Privacy Pass) destinado a autenticar dispositivos anónimamente contra servicios Apple Intelligence. Serpent demuestra que los tokens terminan en el login keychain en texto plano, pueden ser extraídos con herramientas macOS estándar, y pueden ser reproducidos en otro dispositivo para hacerse pasar por el original.

El camino de extracción es el detalle de ingeniería a entender. Malware corriendo con permisos de usuario ordinarios en el Mac víctima puede jalar los valores TGT y OTT del login keychain vía la API SecItemCopyMatching o el CLI /usr/bin/security, asumiendo que el usuario hace click en el prompt rutinario de acceso al keychain. Con los tokens en mano, el atacante sobrescribe su propio keychain local con los tokens de la víctima, y las requests subsiguientes de Apple Intelligence identifican el dispositivo del atacante como la víctima. Ni un exploit de kernel ni acceso privilegiado se necesitan. La falla de diseño es que los tokens son almacenables y portables en un contenedor alcanzable por malware ordinario a nivel de aplicación.

Apple parchó en macOS 26.2 moviendo los tokens del login keychain al iCloud keychain y añadiendo chequeos de permisos de kernel. Los investigadores notan que esto es un fix parcial, no completo: un atacante suficientemente privilegiado aún puede bypassear entitlements vía extensiones de kernel, y la clase general de "tokens de auth anónimos por dispositivo que pueden ser robados de almacenamiento local" es arquitectónica en lugar de específica a la implementación. CVE-2025-43509 está asignado. Para cualquiera construyendo flujos de auth anónima preservadora de privacidad en plataformas cliente, la lección es que la capa de almacenamiento importa tanto como la capa de protocolo. Las garantías de Privacy Pass se rompen si los tokens pueden ser removidos del dispositivo al cual fueron emitidos.

Dos puntos para builders. Uno, si tu producto usa tokens de acceso anónimos atados a identidad de dispositivo (para servicios IA, DRM, rate limiting de API, cualquier cosa similar), el patrón Serpent es la plantilla contra la cual probar tu diseño de almacenamiento. "Tokens en un keychain provisto por OS" no es suficiente si ese keychain es legible por código con permisos de usuario ordinarios detrás de un prompt de consentimiento rutinario. Dos, el paper de Ohio State llega la misma semana que los 271 zero-days de Mozilla/Mythos y el reporte de filtración de Glasswing de Anthropic. El patrón es consistente: la seguridad de plataformas IA se está concentrando en control de acceso a modelos (quién obtiene los pesos, quién obtiene la API) mientras la capa clásica de autenticación app-y-OS sigue siendo un objetivo más blando. El lado cliente del despliegue de IA es donde vivirán los exploits prácticos del próximo año.