服务架构设计苹果公司宣称其操作系统内置的生成式AI服务Apple Intelligence通过采用匿名访问令牌的双阶段认证授权机制特别注重用户安全与隐私保护。但俄亥俄州立大学研究人员在macOS 26.0Tahoe系统上发现该设计存在可导致令牌被窃取并重复利用的安全漏洞。该系统通过私有云计算PCC框架将复杂请求卸载至云端服务器处理采用Privacy Pass协议下的两种凭证设备首先向身份验证服务证明其苹果硬件真实性获取长期有效的令牌授予令牌TGT随后用TGT兑换批量单次使用的一次性令牌OTT来授权AI请求。为保护隐私流量经由Oblivious HTTPOHTTP中继代理传输可向苹果隐藏IP地址等元数据。Apple Intelligence认证协议来源研究论文漏洞发现研究人员在macOS 26.0系统中发现TGT和OTT以明文形式存储在登录钥匙串中任何具有标准用户权限的应用程序均可访问。由于系统设计优先考虑匿名性令牌未与物理硬件绑定且缺乏验证令牌原始接收设备的方法这些凭证实际成为持有者令牌。一旦泄露用户无法撤销令牌需等待数日后自动失效。Serpent攻击手法研究人员开发出名为Serpent的攻击技术通过两个阶段突破凭证不可转移的设计提取阶段植入受害者Mac的恶意软件通过SecItemCopyMatchingAPI或**/usr/bin/security**工具查询钥匙串触发系统权限弹窗假设用户点击允许伪装阶段攻击者将窃取的令牌写入本地钥匙串后其设备即可伪装成受害者发起服务请求实际影响在macOS 26.0上的测试证实被限流的设备通过导入受害者令牌可立即恢复服务访问攻击者可利用窃取的TGT反复兑换并丢弃OTT耗尽受害者每日配额使其设备显示Apple Intelligence当前不可用的伪服务中断提示由于OHTTP中继隐藏IP地址服务商无法追踪攻击源该漏洞还可能导致Apple Intelligence服务被移植到Linux等平台作为通用AI服务转售。修复措施苹果已为此漏洞分配编号CVE-2025-43509并发放漏洞赏金。macOS 26.2更新将令牌存储位置改为iCloud钥匙串需通过系统内核权限检查才能访问。但研究人员指出该方案仍可通过内核扩展或内存调试绕过建议采用加密硬件绑定作为根本解决方案。