俄亥俄州立大學(Ohio State)研究者公開了「Serpent」的細節,這是一次針對 macOS 26.0(Tahoe)上 Apple Intelligence 認證的攻擊。論文在 arxiv 2604.15637。Apple 的認證設計使用兩階段令牌系統(Token Granting Tokens 與 One-Time Tokens,經 Privacy Pass 協定發行),本意是對 Apple Intelligence 服務進行匿名裝置認證。Serpent 證明:這些令牌最終以明文保存在 login keychain,可以用標準 macOS 工具抽取,並在另一台裝置上重放以冒充原始裝置。
抽取路徑是要掌握的工程細節。具備普通使用者權限的 malware 執行在受害 Mac 上,可透過 SecItemCopyMatching API 或 /usr/bin/security CLI 從 login keychain 取出 TGT 與 OTT 值,前提是使用者點過了例行的 keychain 存取提示。拿到令牌之後,攻擊者用受害者的令牌覆蓋自家本地 keychain,之後 Apple Intelligence 的請求便會把攻擊者的裝置識別為受害者。既不需要核心漏洞,也不需要提權存取。設計上的缺陷在於:令牌被存放在一個普通應用程式級 malware 就能觸達的容器中,且可被匯出到別處。
Apple 在 macOS 26.2 中進行了修補,把令牌從 login keychain 移到 iCloud keychain,並加入核心權限檢查。研究者指出:這是部分修復,不是完整修復——足夠特權的攻擊者仍可透過核心擴充繞過 entitlements;而「每裝置匿名認證令牌可從本地儲存中被偷走」這一更大類別的問題是架構級別的,而非具體實作級別的。CVE-2025-43509 已分配。對任何在客戶端平台上建構保護隱私的匿名認證流程的人而言,教訓是:儲存層與協定層同等重要。Privacy Pass 的保證在令牌可被從其簽發裝置上拿走時就失效。
給 builder 兩點。其一,如果你的產品使用與裝置身分綁定的匿名存取令牌(用於 AI 服務、DRM、API 限流等),Serpent 是你用來檢驗自身儲存設計的模板。只把「令牌放進 OS 提供的 keychain」並不夠——只要該 keychain 在一次例行同意提示之後就能被普通使用者權限程式碼讀取,就不夠。其二,這篇俄亥俄州立的論文在同一週冒出來,伴著 Mozilla/Mythos 的 271 個零日與 Anthropic Glasswing 的洩漏報告。模式是連貫的:AI 平台安全正把重心壓在模型存取控制(誰拿到權重、誰拿到 API),而經典的應用與作業系統認證層仍然是更軟的目標。AI 部署的客戶端這一側,將會是未來一年實際攻擊發生的地方。