GitHub驚現(xiàn)3分鐘入侵iPhone工具，蘋果沉默

一個黑客工具從"國家機密"變成"復(fù)制粘貼即用"，中間只隔了一次GitHub上傳。

上周，安全研究人員還在追蹤針對iPhone用戶的DarkSword攻擊活動。這周，這個高級間諜工具的升級版就被公開泄露，躺在代碼倉庫里任人下載。iVerify聯(lián)合創(chuàng)始人Matthias Frielingsdorf直言：「這太糟了。它們太容易改作他用了。」

從"需要iOS專家"到"復(fù)制粘貼"

泄露的DarkSword樣本簡單得不像話——只是HTML和JavaScript文件。Frielingsdorf說，任何人復(fù)制粘貼后，「幾分鐘到幾小時」就能在服務(wù)器上部署。Google發(fā)言人也確認(rèn)，其安全團隊認(rèn)同這一評估。

安全愛好者matteyeux在X上公開驗證：他用網(wǎng)上流傳的樣本，成功入侵了一臺運行iOS 18的iPad mini。整個過程中，他不需要懂iOS底層，不需要寫一行漏洞利用代碼。

這意味著攻擊門檻的斷崖式下跌。以前，這類工具屬于NSO Group級別的商業(yè)間諜軟件公司，或是國家背景的黑客組織。現(xiàn)在，一個腳本小子（script kiddie，指技術(shù)初級但熱衷使用現(xiàn)成工具的攻擊者）就能上手。

數(shù)億臺設(shè)備的"舊版本陷阱"

蘋果自己的數(shù)據(jù)顯示，大量活躍設(shè)備仍運行舊版系統(tǒng)。這些未升級到iOS 26的iPhone和iPad，構(gòu)成了DarkSword的獵場。Frielingsdorf的判斷很直接：「我認(rèn)為這已經(jīng)無法控制了。我們必須預(yù)期犯罪分子和其他人會開始部署這個。」

「其他」這個詞值得停頓。在間諜軟件行業(yè)，"犯罪分子"和"其他"通常是兩撥人——前者求財，后者可能代表政府或企業(yè)利益。DarkSword的公開化，讓這兩撥人站在了同一起跑線上。

諷刺的是，工具泄露本身可能是內(nèi)部斗爭的產(chǎn)物。商業(yè)間諜軟件行業(yè)近年屢現(xiàn)"叛逃者"泄露代碼的事件，有時是前員工報復(fù)，有時是競爭對手?jǐn)嚲帧o論動機如何，代價由普通用戶承擔(dān)。

蘋果的"更新勸退"悖論

蘋果的安全模型高度依賴"最新系統(tǒng)"。但iOS的更新節(jié)奏和硬件淘汰策略，制造了一個灰色地帶：大量功能完好的設(shè)備被擋在新版本門外，或用戶主動選擇不更新——為了續(xù)航、為了熟悉的界面、為了避開新系統(tǒng)的bug。

DarkSword恰好瞄準(zhǔn)這個縫隙。它不是零日漏洞（zero-day，指未公開的全新漏洞），而是針對已知舊漏洞的武器化利用。蘋果已經(jīng)修補了這些問題，但修補從未到達(dá)數(shù)億臺設(shè)備上。

這像是一場"安全債務(wù)"的集中兌付。蘋果長期以來的策略是：用新功能吸引升級，用舊版本的安全風(fēng)險倒逼換機。但當(dāng)間諜工具被公開武器化，這個算盤的風(fēng)險系數(shù)陡增。

GitHub的"打地鼠"困境

代碼托管平臺面臨熟悉的難題。DarkSword的倉庫可能已被刪除，但Git的分布式特性意味著副本早已散入互聯(lián)網(wǎng)的各個角落。Frielingsdorf說的"無法控制"，技術(shù)上是指一旦泄露，撤回只是象征性動作。

更深層的問題在于：這類工具該如何分類？GitHub禁止惡意軟件，但"概念驗證"（proof-of-concept）和安全研究工具處于灰色地帶。DarkSword的泄露者可以聲稱自己在做"安全研究"，而平臺的審核團隊缺乏技術(shù)能力逐行判斷每個倉庫的真實用途。

這不是GitHub第一次遇到類似困境，也不會是最后一次。當(dāng)國家級的攻擊工具流入公共領(lǐng)域，平臺規(guī)則的設(shè)計前提——區(qū)分"善意"與"惡意"——本身就開始失效。

對普通用戶而言， actionable的建議只剩下一條：檢查設(shè)置-通用-軟件更新。如果你的設(shè)備還能升到iOS 26，今晚就升。如果不能，需要意識到你正在使用一個被公開瞄準(zhǔn)的操作系統(tǒng)版本。這不是恐嚇，是GitHub倉庫里的文件已經(jīng)證明的事實。