Apple vào thứ Hai đã phát hành các bản cập nhật bảo mật cho iOS, macOS và trình duyệt web Safari để khắc phục hơn ba chục lỗi, bao gồm bốn lỗ hổng trong WebKit được phát hiện bằng cách sử dụng các công cụ trí tuệ nhân tạo (AI) như Anthropic Claude và OpenAI Codex Security.
Các lỗ hổng WebKit được phát hiện bởi AI
- CVE-2026-43707 - Một vấn đề memory corruption có thể dẫn đến việc tiến trình bị crash đột ngột khi xử lý nội dung web độc hại. Lỗi đã được xử lý bằng cách cải thiện quản lý bộ nhớ.
- CVE-2026-43716 - Một vấn đề chưa xác định có thể khiến Safari bị crash đột ngột khi xử lý nội dung web độc hại. Lỗi đã được xử lý bằng cách cải thiện quản lý bộ nhớ.
- CVE-2026-43745 - Một vấn đề out-of-bounds write có thể khiến Safari bị crash đột ngột khi xử lý nội dung web độc hại. Lỗi đã được khắc phục bằng cách cải thiện input validation.
- CVE-2026-43715 - Một vấn đề use-after-free có thể dẫn đến memory corruption khi xử lý nội dung web độc hại. Lỗi đã được khắc phục bằng cách cải thiện quản lý bộ nhớ.
Ba khiếm khuyết bảo mật đầu tiên đã được Apple ghi nhận cho OpenAI Codex Security, trong khi các nhà nghiên cứu của Anthropic là Milad Nasr và Nicholas Carlini, cùng với Claude, đã được ghi nhận cho CVE-2026-43715.
Bốn lỗ hổng này nằm trong số gần 30 lỗ hổng đã được vá trong WebKit, một engine trình duyệt web mã nguồn mở do Apple phát triển. Những lỗi khác bao gồm vấn đề use-after-free trong WebKit Canvas (CVE-2026-43720) và một lỗ hổng có thể bị khai thác bởi trang web độc hại để xử lý nội dung web bị hạn chế bên ngoài sandbox (CVE-2026-43725).
Khắc phục các lỗi Kernel
Apple cũng đã khắc phục ba lỗi có thể bị khai thác bởi ứng dụng độc hại để rò rỉ trạng thái kernel nhạy cảm (CVE-2026-43722), gây ra việc dừng hệ thống đột ngột hoặc ghi vào bộ nhớ kernel (CVE-2026-43724), hoặc làm hỏng bộ nhớ kernel (CVE-2026-39868). Nhà nghiên cứu bảo mật Hyunwoo Kim, người đã phát hiện ra Dirty Frag, đã được ghi nhận vì phát hiện và báo cáo CVE-2026-43724 và CVE-2026-43722.
Các bản cập nhật hiện có sẵn cho iOS 26.5.2, iPadOS 26.5.2, macOS Tahoe 26.5.2, và Safari 26.5.2. Chưa có lỗ hổng nào được vá được báo cáo là đã bị khai thác tích cực trong thực tế.
Phản ứng của Apple trước tốc độ của AI
Trong một tuyên bố chia sẻ với Reuters, Apple cho biết họ đang phát hành các bản cập nhật bảo mật sớm hơn nhiều so với trước đây để ứng phó với những lo ngại rằng các công cụ AI có thể đẩy nhanh việc phát triển exploit và đóng vai trò như một tác nhân hỗ trợ cyber warfare, thu hẹp khoảng cách giữa phát hiện và vũ khí hóa lỗ hổng xuống chỉ còn vài giờ.
Công ty cho biết họ đang "thích nghi với thực tế rằng, trước khả năng của trí tuệ nhân tạo trong việc đẩy nhanh tốc độ phát triển các công cụ hack độc hại, họ cần phải giảm thời gian từ khi các bản cập nhật lần đầu tiên được công bố cho đến khi chúng đến tay khách hàng."