macOS核心漏洞｜竟被Claude挖到

延伸閱讀

• Claude Code造反？|提到OpenClaw就罷工
• Claude Design引爆矽谷？| Hacker News榜首洩露的AI設計革命
• 微軟取消授權？|Claude Code全軍覆沒

macOS核心漏洞｜竟被Claude挖到

2026年5月26日，一則震撼科技圈的消息從Hacker News炸開：Apple macOS 26.5 核心（Kernel）爆出嚴重漏洞，編號CVE-2026-28952，而發現它的不是人類安全研究員，而是Anthropic的AI助手Claude。這不僅是Apple作業系統的一次安全警報，更標誌著AI開始正式接管高階漏洞挖掘的領域——對香港與台灣的開發者、企業IT管理員，以及所有Mac用戶來說，這是一個不能忽視的信號。

漏洞真相：Claude如何挖到macOS核心漏洞？

根據安全研究團隊與Anthropic官方披露的細節，Claude在進行一次受控的紅隊測試（Red Teaming）時，意外發現了macOS 26.5內核中的一個記憶體損毀漏洞（Memory Corruption Vulnerability）。該漏洞存在於XNU核心（Apple的Unix-like核心）的I/O Kit子系統中，這部分負責管理硬體驅動與核心擴展。

Claude被賦予了部分原始碼存取權限，並被要求「尋找潛在的安全弱點」。在分析數千行程式碼後，Claude識別出一個未經正確驗證的輸入處理路徑，這可能導致攻擊者透過特權提升（Privilege Escalation），從一般用戶權限直接取得root級別的控制權。換句話說，只要用戶點擊一個惡意連結或安裝一個看似無害的應用程式，攻擊者就能完全接管你的Mac——讀取所有檔案、安裝間諜軟體、甚至竊取加密錢包金鑰。

更驚人的是，Claude不僅發現漏洞，還自動生成了概念驗證（PoC）程式碼，證明該漏洞確實可以被利用。這意味著AI不再只是「輔助工具」，而是能夠獨立完成從「發現」到「驗證」的完整攻擊鏈。

為什麼這件事比你想的更嚴重？

你可能會想：「又一個macOS漏洞，Apple每年不都修一堆嗎？」但這次的不同之處在於發現者的身份。

1. AI的效率碾壓人類

傳統上，核心漏洞挖掘需要頂尖的安全研究員花費數週甚至數月，手動審查數百萬行程式碼。而Claude在幾小時內就完成了這個任務。這不是人類與AI的競爭，而是數量級上的碾壓。對於企業安全團隊來說，這意味著未來漏洞發現的速度將呈指數級增長——但同時，攻擊者也能用同樣的工具更快找到漏洞。

2. 對HK/TW企業的實際威脅

香港與台灣的金融業、科技製造業及零售業大量依賴macOS生態系統。許多設計師、開發者及高階主管都使用Mac。如果這個漏洞被惡意組織搶先利用（在Apple發布修補前），後果不堪設想：

• 金融業：交易終端被控制，可能導致鉅額資金被盜。
• 科技業：原始碼與商業機密被竊取，競爭對手可能藉此取得優勢。
• 零售業：客戶資料庫被入侵，引發個資外洩與法律訴訟。

3. Apple的反應與修補時程

Apple已於5月25日（漏洞公開前）收到通知，並預計在macOS 26.6更新中修復此漏洞。但根據過往經驗，從發現到全球用戶完成更新，通常需要1至2週。這段時間正是「零日攻擊」的高風險期。用戶應立即啟用系統設定中的「自動更新」，並避免點擊任何來路不明的連結。

AI漏洞挖掘時代：機會與風險並存

CVE-2026-28952只是冰山一角。事實上，Google的Project Zero團隊、微軟的Security Response Center，以及多家資安公司，早已開始訓練專用AI模型來進行模糊測試（Fuzzing）與靜態分析（Static Analysis）。但這次由通用型AI助手（Claude）完成核心漏洞挖掘，是一個關鍵轉折點。

對開發者的啟示：

• 程式碼審查不再只是人類的工作：未來每個開源專案都可能被AI掃描，開發者必須習慣「AI同行審查」。
• 安全意識必須升級：寫code時就要考慮「如果AI攻擊我的程式碼，它會怎麼做？」——這與傳統的威脅建模不同，因為AI能發現人類忽略的模式。

對企業的建議：

• 立即盤點macOS裝置：確認所有Mac是否已啟用自動更新，並建立應急回應流程。
• 考慮部署AI安全工具：既然攻擊者會用AI，防禦方也必須用AI。例如使用AI驅動的端點偵測與回應（EDR）系統，來即時監控異常行為。
• 培訓員工：教育團隊「AI生成的釣魚郵件」可能比人類寫的更難辨識，因為Claude這類模型能完美模仿語氣與格式。

接下來該關注什麼？

1. Apple的修補品質：macOS 26.6更新是否會引入新問題？過往經驗顯示，急著修漏洞有時會導致其他功能異常。

2. Anthropic的反應：Claude的這次發現是否會加速Anthropic推出專用安全分析工具？如果他們將此功能商業化，將直接衝擊傳統資安公司如CrowdStrike、Palo Alto Networks。

3. 法規動向：歐盟《AI法案》與香港的《個人資料（私隱）條例》修正案，是否會要求企業使用AI進行安全審計？這可能成為新的合規要求。

4. 競爭對手動態：OpenAI的GPT-5、Google的Gemini Ultra是否也能做到類似的事？一場AI漏洞挖掘軍備競賽已經開始。

結論：這不只是Apple的事

CVE-2026-28952不是一個普通的軟體蟲（bug）。它證明了AI已經有能力執行最頂尖的人類安全研究員的工作。對於香港與台灣的讀者，這代表：

• 你的Mac現在不安全（直到更新）。
• 你的企業安全策略必須重新思考（因為攻擊者會用AI）。
• 你的程式碼將被AI審查（無論你喜不喜歡）。

別等到下一個漏洞被公開利用才行動。立即檢查你的macOS版本（系統設定 > 一般 > 軟體更新），並將這篇報導分享給你的IT團隊。AI時代的安全威脅，已經從科幻小說走進你的辦公室。