重大安全漏洞曝光,WhatsApp与Apple紧急发布补丁|马斯克证实:xAI 整个代码库被盗
安全漏洞
WhatsApp 已修复其 iOS 与 macOS 应用中的一处严重安全漏洞,该漏洞已被黑客在野利用,并与苹果系统的另一起零日漏洞串联,发动了针对性极强的攻击。
漏洞详情
该漏洞编号为 CVE-2025-55177,由 WhatsApp 内部安全团队发现并上报。其根源在于 对设备间同步消息的授权校验不足,可能被远程攻击者利用,强制目标设备处理来自任意恶意 URL 的内容。
受影响版本包括:
-
iOS 版 WhatsApp 2.25.21.73 之前版本(7 月 28 日修复)
-
iOS 版 WhatsApp Business 2.25.21.78 之前版本(8 月 4 日修复)
-
macOS 版 WhatsApp 2.25.21.78 之前版本(8 月 4 日修复)
WhatsApp 表示,这一漏洞很可能与苹果此前披露的 CVE-2025-43300 结合使用。后者存在于 ImageIO 框架中,是一个越界写入漏洞,攻击者可通过恶意图像触发内存破坏并执行任意代码。
两者结合,形成了一条完整的攻击链,可在 无需受害者点击或交互的情况下(零点击攻击),将恶意程序植入 iPhone 或 Mac,用于窃取数据。
已有定向攻击发生
据 WhatsApp 披露,他们已向不到 200 名疑似受害者发送了应用内安全通知。这些受害者在过去 90 天内遭到了利用该漏洞的 高级间谍软件活动的攻击,其中包括记者、民间社会人士和人权捍卫者。
国际特赦组织安全实验室负责人 Donncha Ó Cearbhaill 证实,攻击链被用于一场复杂的间谍活动,并呼吁潜在受害者立即执行出厂重置,并保持操作系统与 WhatsApp 应用最新。
目前尚不清楚幕后攻击者或具体间谍软件供应商身份。
背景与影响
这并非 WhatsApp 首次成为间谍软件的攻击目标。早在 2019 年,该公司曾起诉 NSO Group,指控其利用 Pegasus 间谍软件入侵了 1400 多名用户,最终赢得美国法院判决,NSO 需赔偿 1.67 亿美元。
本次事件再次表明,政府级间谍软件依然是全球记者与人权活动人士的重大威胁。它同时凸显了保持应用与系统及时更新的重要性,因为更新往往包含应对复杂攻击的关键安全补丁。
关键词
数据泄露
埃隆·马斯克(Elon Musk)旗下人工智能公司 xAI 日前向美国加州北区联邦地方法院提起诉讼,指控前工程师 李学辰(Xuechen Li,音译) 在离职前窃取了公司的 完整代码库和商业机密,并于不久后加入竞争对手 OpenAI。
涉案经过
-
2024 年 2 月:李学辰加入 xAI,成为约 20 名早期工程师之一,负责 Grok 大模型的研发,拥有访问核心技术栈的权限。
-
2025 年 6 月 - 7 月:李学辰先后出售手中持有的 xAI 股份,累计套现约 700 万美元。
-
7 月 25 日:他将大批机密数据上传至个人系统。
-
7 月 28 日:正式辞职,并签署声明称已删除所有数据、归还所有资料。
-
8 月 11 日:xAI 在例行安全审查中发现数据外泄迹象。马斯克随后在 X/Twitter 上公开确认:李学辰盗走的不是 Grok 的部分数据,而是 整个 xAI 代码库。
-
8 月 14 日 - 15 日:在律师陪同下,李学辰承认下载并保存了公司数据,但提供的访问凭证并不完整,仍有部分涉密账户和设备未交出。
-
8 月 19 日:李学辰正式入职 OpenAI。
起诉内容
xAI 在诉状中表示,李学辰的行为涉及 数十亿美元价值的尖端 AI 技术,这些机密如果落入竞争对手手中,可能让其节省数年的研发成本。
诉讼指控包括:
-
违反保密协议与发明转让协议
-
违反离职时签署的《终止证明》
-
盗取商业机密(违反《美国法典》第 18 卷第 1836 节及相关条款)
-
违反加州《计算机数据访问与欺诈法》
xAI 的诉求
xAI 已向法院提出以下请求:
-
发布 临时限制令,禁止李学辰在 OpenAI 或其他竞争对手从事生成式 AI 相关工作;
-
要求其 交出所有设备、账户和访问凭证,并由第三方取证专家进行检查;
-
删除并返还所有窃取的数据;
-
禁止其进一步使用、传播或销毁涉密信息;
-
赔偿包括 实际损失、三倍损害赔偿、惩罚性赔偿、律师费及相关费用。
背景与争议
李学辰本科、博士均毕业于斯坦福,曾在谷歌、微软实习,是 Alpaca 系列开源大模型的核心贡献者之一。他在 AI 领域资历深厚,本应前途无量。
如今,他却因涉嫌窃取机密并跳槽至 OpenAI,成为马斯克与奥特曼 AI 竞赛中的最新焦点人物。至于 OpenAI 是否在此事件中知情或参与,目前 OpenAI 与李学辰均未公开回应。
文章来源 :安全圈
官方 