Apple werkte 5 jaar aan de ontwikkeling van hard- en software om misbruik van geheugenfouten erg moeilijk te maken. Maar met hulp van Mythos werd er binnen vijf dagen een werkende exploit ontwikkeld, wat laat zien dat het waarschijnlijk steeds meer een programmeer-race tussen AI’s gaat worden.

Gelukkig hebben ze dit meteen met Apple gedeeld. Maar als zij het in 5 dagen voor elkaar kregen, dan kunnen kwaadwillenden dat misschien ook.


Kortom, het lijkt zaak dat Apple een heleboel talent met Mythos laat werken om zelf zoveel mogelijk zwakheden te vinden, want nu AI het zo (relatief) makkelijk maakt om dit soort diepe zwakheden te vinden wordt veiligheid zo langzamerhand wel een begrip dat steeds minder waarde heeft.

Ondertussen is het erg leuk om de pagina van de twee ontdekkers van deze zwakheid te lezen, want ze hebben er duidelijk een leuk uitje van gemaakt (ze zijn zelf bij Apple langs geweest om hun bevindingen te delen).

Zeker de moeite van het lezen waard.

Je mag me slaan Robert. Maar ‘zwakheid’ = zwakte. Ik lees zoveel foute zelfstandige naamwoorden tegenwoordig. Sorry…

Buiten het feit dat vermeende taalfouten liever via het knopje 'meld aan moderator' worden doorgegeven: sorry, wat een onzin . Beide zijn correcte Nederlandse zelfstandige naamwoorden, met een subtiel andere betekenis. 'Zwakheden' verwijst meestal naar concrete gebreken, fouten of kwetsbaarheden in een systeem en 'zwaktes' wordt vaker gebruikt voor een karaktereigenschap of een algemene toestand van zwak zijn. In dit geval dus een prima keuze van Robert.

Oké, dank voor het wijzen op het moderatorknopje. Voor mij klinkt zwakheid gezocht, maar je zal gelijk hebben. Ik ben er vanaf het begin van deze site en merk nooit zoiets dergelijks op. Maar los van nu dan zie ik tegenwoordig zelfstandige naamwoorden voorbijkomen die pijn in mijn oren doen. Ik word oud denk ik 😄

Ik ben het lang niet altijd met boiing eens, maar hier moet ik 'm bijvallen: zowel zwakheid als zwakte zijn correct Nederlands, en in een security-context is zwakheid (concreet gebrek, kwetsbaarheid in een systeem) juist de meer idiomatische keuze. Men spreekt over zwakheden in de code, niet over zwaktes in de code. Robert had het woord gewoon goed.

Maar belangrijker dan de taalkwestie: laten we niet uit het oog verliezen waar dit bericht eigenlijk over gaat, want dit is geen kleine vondst. Een publieke kernel memory corruption exploit op M5-silicon, gevonden binnen vijf dagen met AI-assistentie, op een platform waar Apple vijf jaar aan hardware- en softwarematige mitigaties heeft gewerkt (PAC, PPL, SPTM, kernel page protections, de hele mikmak) ... dat is hardcore. Dit is geen scriptkiddie-foutje of een vergeten bounds-check in een randmodule; dit raakt de kern van het beveiligingsmodel waar Apple Silicon op gebouwd is. Dat de onderzoekers het netjes responsibly disclosed hebben en op de koffie zijn geweest in Cupertino is mooi, maar het feit dát het binnen een werkweek lukte met de juiste tooling is het echte nieuws, en zeer slecht nieuws.

En dat brengt me terug op iets wat ik hier al vaker geschreven heb: herstart je Mac vaker dan je doet. Ik weet dat veel Mac-gebruikers het als een eer dragen dat hun machine al zes weken aan staat: "kijk, gewoon dichtklappen en weer open, nooit herstarten nodig", maar dat is in 2026 niet slim. Een reboot is geen Windows-ritueel uit het XP-tijdperk; het is een hygiënische maatregel. Veel exploits, juist het soort dat geheugenfouten misbruikt, leven in runtime state: kernel heap layout, gemapte pages, lopende processen, caches op meerdere niveaus. Een herstart wist die staat, herinitialiseert ASLR, ververst secure boot-chains, past pending security-patches toe die anders in de wachtrij blijven staan, en ruimt allerlei caches op die zich anders maandenlang opstapelen (en ondertussen ook gewoon je systeem trager maken).

Natuurlijk met de M-series is "trager" een relatief begrip en nauwelijks waarneembaar ... Maar ...

Het is niet voor niks dat veel kwetsbaarheden in praktijk vooral gevaarlijk zijn voor machines die wekenlang niet zijn herstart: de aanvaller heeft tijd nodig om iets te bereiken, en jij geeft 'm die tijd cadeau.

macOS is goed. Apple investeert serieus in beveiliging, en op het gebied van hardware-gestuurde mitigaties loopt Apple Silicon voor op de meeste concurrenten. Maar goed is niet immuun, en dit Mythos-verhaal laat precies zien waarom. Geen platform is immuun, geen mitigatie is voor altijd, en de aanvalskant wordt met AI sneller in plaats van langzamer. Het minste wat je als gebruiker zelf kunt doen is je systeem niet wekenlang in dezelfde state laten draaien. Eén keer per week een nette herstart, liever nog vaker: niet alleen dichtklappen, maar echt Herstart uit het Apple-menu ... kost je twee minuten en lost meer op dan de meeste mensen denken. Het is geen wondermiddel tegen kernel exploits van dit kaliber, maar het is wel een van die basisgewoontes waarvan ik me elke keer weer verbaas dat zoveel ervaren Mac-gebruikers ze overslaan.

*zucht*