谷歌AI工具Big Sleep发现苹果Safari浏览器WebKit组件5个新漏洞

苹果公司确认，谷歌旗下名为Big Sleep的人工智能（AI）网络安全Agent在其Safari浏览器使用的WebKit组件中发现了五个不同的安全漏洞。若被成功利用，这些漏洞可能导致浏览器崩溃或内存损坏。

漏洞详情

• （CVE-2025-43429）- 缓冲区溢出漏洞，处理恶意构造的网页内容时可能导致进程意外崩溃（通过改进边界检查修复）
• （CVE-2025-43430）- 未明确说明的漏洞，处理恶意构造的网页内容时可能导致进程意外崩溃（通过改进状态管理修复）
• （CVE-2025-43431）与（CVE-2025-43433）- 两个未明确说明的漏洞，处理恶意构造的网页内容时可能导致内存损坏（通过改进内存处理修复）
• （CVE-2025-43434）- 释放后使用漏洞，处理恶意构造的网页内容时可能导致Safari意外崩溃（通过改进状态管理修复）

补丁发布情况

苹果公司已于本周一发布修复补丁，包含在以下系统更新中：

• iOS 26.1与iPadOS 26.1- 适用于iPhone 11及后续机型、第三代12.9英寸iPad Pro及后续机型、第一代11英寸iPad Pro及后续机型、第三代iPad Air及后续机型、第八代iPad及后续机型、第五代iPad mini及后续机型
• macOS Tahoe 26.1- 运行macOS Tahoe系统的Mac设备
• tvOS 26.1- Apple TV 4K（第二代及后续机型）
• visionOS 26.1- Apple Vision Pro（所有型号）
• watchOS 26.1- Apple Watch Series 6及后续机型
• Safari 26.1- 运行macOS Sonoma和macOS Sequoia系统的Mac设备

技术背景

Big Sleep原名Project Naptime，是谷歌去年推出的AI Agent，由DeepMind与谷歌Project Zero团队合作开发，旨在实现自动化漏洞发现。今年早些时候，谷歌曾表示这个基于大语言模型（LLM）的框架发现了SQLite中的一个安全漏洞（CVE-2025-6965，CVSS评分：7.2），该漏洞存在"被恶意利用的风险"。

虽然本周安全公告中列出的漏洞均未发现野外利用案例，但保持设备更新至最新版本始终是最佳防护实践。