- Ron Masas (Imperva) dùng GPT-5.4 — truy cập qua chương trình Trusted Access for Cyber của OpenAI — để ghép hai lỗi Safari tưởng như vô hại thành một exploit chain đánh bại hoàn toàn Same-Origin Policy trên mọi thiết bị Apple.
- CVE-2026-20664 đã được vá trong iOS/macOS 26.4.
TL;DR
GPT-5.4 — truy cập qua chương trình Trusted Access for Cyber (TAC) của OpenAI — vừa giúp Ron Masas (Imperva) ghép hai lỗi Safari tưởng như vô dụng thành một exploit chain đánh bại hoàn toàn Same-Origin Policy trên mọi thiết bị Apple. Một bug JSC WebAssembly cho stale read/write trong Primitive Gigacage; một bug trong Safari Fetch cho phép response opaque cross-origin rò vào bộ nhớ renderer. Ghép lại: trang web độc có thể đọc dữ liệu đã xác thực của bạn ở domain khác. Apple đã vá CVE-2026-20664 trong iOS 26.4 và macOS Tahoe 26.4.
Có gì mới
Ngày 23/4/2026, Masas công bố bài viết "Hacking Safari with GPT 5.4" trên blog Imperva, mô tả chi tiết quá trình dùng mô hình nói chuyện vào cả hai vấn đề thường được tách biệt trong security research: tìm bug và ráp chain. Bài viết đi kèm video PoC lấy dữ liệu đã xác thực từ endpoint Apple Connect và iCloud.
Điểm đáng chú ý không phải là "AI tự build exploit từ một prompt". Masas nói thẳng:
"GPT-5.4 identified the bugs and helped assemble a working exploit chain, but it wasn't a simple 'build me an exploit' prompt."
Thứ AI thực sự rút ngắn ở đây là thời gian ghép ý tưởng — thứ trước kia phải mất nhiều tháng tích luỹ kiến thức domain.
Vì sao đáng để ý
Suốt nhiều năm, một bản vá bảo mật là một tấm khiên tạm thời: attacker phải reverse-engineer patch, suy ngược lỗi, rồi tìm cách khai thác. Hàng rào đó là thời gian, công sức, và expertise. Masas viết:
"A security patch in popular software used to hide the underlying exploit behind time, effort, and expertise. Now that you can scale tokens instead of effort, that barrier is mostly gone."
Nếu chu kỳ N-day thu ngắn từ hàng tháng xuống hàng ngày nhờ LLM cyber-permissive, mô hình cập nhật của toàn ecosystem — từ vendor tới user cuối — phải thay đổi theo.
Chi tiết kỹ thuật
Bug #1 — JSC WebAssembly UAF trong Primitive Gigacage: Khi bộ nhớ WASM non-shared resizable grow trong chế độ BoundsChecking, JavaScriptCore thay handle bộ nhớ bên dưới nhưng để con trỏ data của JS-visible buffer trỏ vào vùng đã free. Kết quả: một cửa sổ typed-array đọc/ghi stale vào vùng Primitive Gigacage đã giải phóng.
Bug #2 — Fetch opaque-response bypass: Response.clone() của Safari, khi được gọi lúc response đang load, tạo readable stream nội bộ mà không chạy opaque-body check. Accessor công khai vẫn chặn response cross-origin opaque, nhưng đường clone vẫn materialize bytes của response vào các ArrayBuffer thông thường trong lúc streaming.
Exploit chain 9 bước:
- Ép bộ nhớ WASM vào nhánh BoundsChecking
- Gọi
memory.toResizableBuffer() - Grow memory → tạo stale buffer
- Trigger cross-origin fetch có credential
- Gọi
response.clone()trong khi vẫn đang load - Để Fetch internals materialize opaque body bytes
- Các allocation này reclaim đúng page vừa free
- Đọc dữ liệu cross-origin qua stale view
- Trích xuất token đã xác thực / dữ liệu nhạy cảm
CVE & phạm vi ảnh hưởng
- CVE-2026-20664
- iOS 26.4 (23E6254+)
- iPadOS 26.4 (23E6254+)
- macOS Tahoe 26.4 (25E253+)
Apple ship bản vá rất nhanh sau disclosure, Masas nhận xét điều này gợi ý bug có thể đã được biết nội bộ trước đó.
So với bối cảnh AI-for-security khác
| Hướng | Mô hình | Đặc điểm |
|---|---|---|
| TAC tier 1 | GPT-5.4 (baseline) | Dùng chung, refusal boundary tiêu chuẩn |
| TAC tier 2 | GPT-5.4 trusted | Giảm ma sát cho công việc cyber hợp lệ |
| TAC tier 3 | GPT-5.4-Cyber | Fine-tuned, refusal thấp hơn, hỗ trợ binary reverse engineering |
Bối cảnh rộng hơn: GPT-5.5 hype và Anthropic Mythos đều đang đặt câu hỏi tương tự — model lớn đến mức nào là đủ cho security research ở mức chain-level? Kết quả của Masas là một datapoint mạnh rằng ngay GPT-5.4 (chưa phải 5.5) đã đủ khi ghép với domain expert.
Use cases
- N-day reconstruction: từ commit/patch diff suy ngược root cause và PoC
- Binary reverse engineering không cần source — năng lực mới trong GPT-5.4-Cyber, hữu ích cho firmware và suspected malware
- Exploit chain ideation: model gợi ý rằng hai bug "yếu" riêng lẻ có thể cộng hưởng — chính là insight then chốt của chain này
- Defensive: team blue dùng cùng khả năng để hunt variant của cùng bug class trong codebase
Giới hạn & truy cập
TAC có 3 tier và không mở công khai:
- Individual: xác minh danh tính tại
chatgpt.com/cyber - Enterprise: yêu cầu qua OpenAI rep
- Hard limits bất kể tier: không data exfiltration, không tạo/triển khai malware, không pentest phá huỷ hoặc unauthorized. Môi trường zero-data-retention có hạn chế triển khai
Các tổ chức đã tham gia hỗ trợ chương trình: Bank of America, BlackRock, BNY, Citi, Cisco, Cloudflare, CrowdStrike, Goldman Sachs, iVerify, JPMorgan Chase, Morgan Stanley, NVIDIA, Oracle, Palo Alto Networks, SpecterOps, US Bank, Zscaler.
Tiếp theo
OpenAI đang scale TAC từ vài chục lên hàng nghìn defender cá nhân và hàng trăm team enterprise bảo vệ phần mềm hạ tầng. Ron Masas dự đoán các variant fine-tuned khác sẽ xuất hiện trong các verticals khác (firmware, kernel, crypto).
Với các team product, bài học thực tế là: giả định rằng khoảng trống giữa patch ship và exploit ship sẽ rút ngắn nhanh chóng. Quy trình vá, telemetry, và hướng dẫn cập nhật user cuối cần được xây cho mô hình mới đó.
Nguồn: Imperva — Hacking Safari with GPT 5.4, OpenAI — Trusted Access for Cyber, The Hacker News, Ron Masas on X.
