苹果公司确认,谷歌旗下一款名为 “Big Sleep” 的人工智能(AI)网络安全代理工具,在其 Safari 浏览器所使用的 WebKit 组件中发现了 5 个不同的安全漏洞。这些漏洞若被成功利用,可能导致浏览器崩溃或内存损坏。
具体漏洞信息如下:
- CVE-2025-43429:缓冲区溢出漏洞,处理恶意构造的网页内容时可能导致进程意外崩溃(已通过改进边界检查修复)
- CVE-2025-43430:未明确说明的漏洞,处理恶意构造的网页内容时可能导致进程意外崩溃(已通过改进状态管理修复)
- CVE-2025-43431 及 CVE-2025-43433:两个未明确说明的漏洞,处理恶意构造的网页内容时可能导致内存损坏(已通过改进内存处理修复)
- CVE-2025-43434:释放后使用漏洞,处理恶意构造的网页内容时可能导致 Safari 浏览器意外崩溃(已通过改进状态管理修复)
苹果已于本周一(11 月 3 日)发布相关漏洞补丁,该补丁包含在 iOS 26.1、iPadOS 26.1、macOS Tahoe 26.1、tvOS 26.1、watchOS 26.1、visionOS 26.1 及 Safari 26.1 等系统更新中。以下设备及操作系统可获取该更新:
- iOS 26.1 与 iPadOS 26.1:iPhone 11 及后续机型、12.9 英寸 iPad Pro(第三代及后续机型)、11 英寸 iPad Pro(第一代及后续机型)、iPad Air(第三代及后续机型)、iPad(第八代及后续机型)、iPad mini(第五代及后续机型)
- macOS Tahoe 26.1:运行 macOS Tahoe 系统的 Mac 电脑
- tvOS 26.1:Apple TV 4K(第二代及后续机型)
- visionOS 26.1:所有型号的 Apple Vision Pro
- watchOS 26.1:Apple Watch Series 6 及后续机型
- Safari 26.1:运行 macOS Sonoma 和 macOS Sequoia 系统的 Mac 电脑
“Big Sleep” 前身为 “Project Naptime(午睡项目)”,是谷歌于去年推出的 AI 代理工具,由 DeepMind 与谷歌 Project Zero 团队联合研发,旨在实现自动化漏洞发现功能。该工具采用多智能体协作架构,模拟人类安全专家的分析流程,漏洞验证准确率达 92%,效率较人工审计提升 300 倍,已成功应用于多个关键开源项目的安全加固。
今年早些时候,谷歌曾披露该大型语言模型辅助框架在 SQLite 数据库中发现一个安全漏洞(CVE-2025-6965,CVSS 评分 7.2),并指出该漏洞 “存在被恶意攻击者利用的风险”。这一漏洞是栈缓冲区下溢漏洞,传统模糊测试工具未能检测到,而 Big Sleep 通过分析代码提交记录成功发现,成为 AI 代理工具首次在实际环境中发现可利用内存安全漏洞的案例。
尽管苹果本周一发布的安全公告中所列漏洞均未被标记为在野利用,但保持设备更新至最新版本始终是保障安全的最佳实践,可实现最优防护效果。
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容