Pesquisadores da Ohio State publicaram detalhes do "Serpent," um ataque contra a autenticação do Apple Intelligence no macOS 26.0 (Tahoe). O paper está no arxiv em 2604.15637. O design de autenticação da Apple usa um sistema de tokens de dois estágios (Token Granting Tokens e One-Time Tokens, emitidos via protocolo Privacy Pass) destinado a autenticar dispositivos anonimamente contra serviços Apple Intelligence. Serpent demonstra que os tokens terminam no login keychain em texto plano, podem ser extraídos com ferramentas macOS padrão, e podem ser replayed em outro dispositivo para se passar pelo original.

O caminho de extração é o detalhe de engenharia para entender. Malware rodando com permissões de usuário ordinárias no Mac vítima pode puxar os valores TGT e OTT do login keychain via a API SecItemCopyMatching ou o CLI /usr/bin/security, assumindo que o usuário clica no prompt rotineiro de acesso ao keychain. Com os tokens em mãos, o atacante sobrescreve seu próprio keychain local com os tokens da vítima, e requests subsequentes do Apple Intelligence identificam o dispositivo do atacante como a vítima. Nem um exploit de kernel nem acesso privilegiado são necessários. A falha de design é que os tokens são armazenáveis e portáveis em um container alcançável por malware ordinário a nível de app.

A Apple patcheou no macOS 26.2 movendo os tokens do login keychain para o iCloud keychain e adicionando checks de permissão de kernel. Os pesquisadores notam que isso é um fix parcial, não completo: um atacante suficientemente privilegiado ainda pode bypassear entitlements via extensões de kernel, e a classe geral de "tokens de auth anônimos por dispositivo que podem ser roubados do armazenamento local" é arquitetural em vez de específica a implementação. CVE-2025-43509 está atribuído. Para qualquer um construindo fluxos de auth anônima preservadora de privacidade em plataformas cliente, a lição é que a camada de armazenamento importa tanto quanto a camada de protocolo. As garantias do Privacy Pass quebram se os tokens podem ser removidos do dispositivo para o qual foram emitidos.

Dois pontos para builders. Um, se seu produto usa tokens de acesso anônimos atados a identidade de dispositivo (para serviços IA, DRM, rate limiting de API, qualquer coisa similar), o padrão Serpent é o template contra o qual testar seu design de armazenamento. "Tokens em um keychain fornecido pelo OS" não é suficiente se esse keychain é legível por código com permissões de usuário ordinárias atrás de um prompt de consentimento rotineiro. Dois, o paper da Ohio State chega na mesma semana que os 271 zero-days da Mozilla/Mythos e o relato de vazamento do Glasswing da Anthropic. O padrão é consistente: a segurança de plataformas IA está se concentrando em controle de acesso a modelos (quem obtém os pesos, quem obtém a API) enquanto a camada clássica de autenticação app-e-OS continua sendo um alvo mais mole. O lado cliente do deployment de IA é onde vão viver os exploits práticos do próximo ano.