iOS／macOS 26.5.2：沒有零日漏洞，卻更該立刻更新？AI 與 patch diffing 的 N-day 威脅

Apple 在 2026 年 6 月 29 日釋出 iOS 26.5.2、iPadOS 26.5.2 與 macOS Tahoe 26.5.2。兩份安全公告幾乎一模一樣：同一批修補，先前已出現在 26.6 beta，現在正式推送給所有人。表面數字看起來很平靜：共修補 29 個漏洞，而且沒有任何零日漏洞（沒有任何漏洞在修補前就被公開揭露或已經被利用）。

很容易把「沒有零日漏洞」讀成「不急」。對企業 IT 來說，這是錯誤的解讀。有兩件事讓這個看似平常的更新值得認真看待，而且都不是因為某一個戲劇性的大漏洞。

---

一、這次更新真正修了什麼

這 29 個修補集中在與網頁有關的元件上。Safari 背後的引擎 WebKit 在清單中佔了絕大多數，另外還有 libxslt、WebRTC，以及幾個 Kernel 問題。

對一般使用者真正有感的類型：

• 單純造訪網站就可能外洩敏感資料（CVE-2026-43713）：不只惡意網站，而是一個需要追加限制才能修好的權限問題。
• 暗中劫持剪貼簿（WebKit Storage，CVE-2026-43721）：惡意網站可以在你毫不知情的情況下讀取剪貼簿內容。
• 跨來源資料外洩與突破沙箱限制：多個 WebKit 漏洞讓惡意網站可以跨來源把資料外洩，或讓受限內容跑到沙箱之外執行。
• 核心記憶體（Kernel）：包含可寫入核心記憶體（CVE-2026-43724）、外洩敏感核心狀態（CVE-2026-43722）、破壞核心記憶體（CVE-2026-39868）等問題，正是惡意 App 用來串接、最終提升權限所需要的零件。

這些目前都還沒有已經被利用的跡象。但「目前還沒被利用」是對過去的描述，不是對下週的保證。

二、AI 已經站上漏洞發現的第一線

看一下這次更新的致謝名單，有個模式很明顯：AI 工具現在已經常態性地出現在 Apple 漏洞的發現者名單裡。

• CVE-2026-43715（WebKit，use-after-free）：致謝對象是 Milad Nasr 與 Nicholas Carlini，with Claude, Anthropic。
• CVE-2026-43663（WebKit）：致謝清單裡直接寫了 「Using GLM From Z.AI」。
• OpenAI Codex Security 出現在好幾條（CVE-2026-43716、CVE-2026-43707、CVE-2026-43745）。

要講清楚：這並不是新鮮事。AI 輔助的研究者已經連續好幾個版本出現在 Apple 的致謝名單中。而這正是重點：AI 輔助的漏洞研究已經是常態，不再是新奇現象，它悄悄成為發現端標準工具鏈的一部分。

接著是讓人不太舒服的對稱性：幫研究者與廠商更快找出漏洞的同一套能力，攻擊端一樣拿得到。AI 同時站在攻防的兩端。

三、沒有零日漏洞，不等於沒有風險：patch diffing 與 N-day 倒數

這就是「沒有零日漏洞」這個說法藏起來的部分。

Apple 一旦推出修補，等於同時公開了哪裡出錯、大致在哪個位置。攻擊者可以拿前一個版本和 26.5.2，對兩個版本做二進位比對，精準定位出到底改了哪段程式碼（這就是所謂的 patch diffing，修補程式差異分析），回推出底層漏洞，再做出可用的攻擊程式。這就是經典的 1-day／N-day 手法，是行之有年的技術，不是憑空假設。

正在改變的是速度。反組譯、理解程式碼、撰寫攻擊雛形，這些正好都是 AI 輔助能大幅加速的工作。從「修補公開」到「可用攻擊程式出現」之間的空窗期，正在縮短。 我們並不是說這 29 個 CVE 已經有公開的 PoC，目前並沒有；我們要說的是，做出 PoC 所需的時間正在被壓縮，而這個倒數，從 Apple 公開的那一天就開始了。

而 patch diffing 成立的前提，反而強化了企業端的結論：這套手法只對還沒更新的裝置有價值。你機隊裡每一台未更新的 iPhone、iPad、Mac，在整個空窗期間都是現成的目標。「沒有零日漏洞」給你的是搶先的時間，不是安全本身。

四、對企業 IT 真正的意義：風險空窗期其實是派送時效問題

如果威脅是「有人逆向修補、而未更新的裝置就是目標」，那麼最重要的防禦指標就是「更新到全機隊所需的時間」，而不是「要不要更新」這個決定本身。

這正是託管式裝置管理發揮價值的地方：

• 用強制，不要用請求。 把 26.5.2 設為最低合規 OS 版本，透過宣告式軟體更新管理（DDM）直接推送，而不是仰賴使用者自己去點「立即更新」。
• 盤點落後裝置。 把還沒更新的裝置清單拉出來，讓最高價值的使用者（高階主管、財務、研發，以及任何處理敏感資料的人）排在最前面。
• 把它當常態，不是事件。 沒有新功能的純資安更新會持續出現。真正的勝利是一套可重複的流程，每次都能快速關閉風險空窗期，而不是每個版本都手忙腳亂一次。

這跟 Apple 在 OS 27 世代正在強化的宣告式軟體更新管理是同一件事；想了解全貌，可參考我們的 WWDC26 裝置管理重點整理。

---

行動清單

1. 立即派送 26.5.2。 透過 MDM 推送 iOS／iPadOS 26.5.2 與 macOS Tahoe 26.5.2，並設為最低合規版本。
2. 高風險裝置優先。 高階主管與處理敏感資料的同仁，在風險空窗期期間是最高價值的目標。
3. 縮短空窗期。 用宣告式軟體更新管理，把「修補釋出」到「全機隊都更新完成」之間的時間壓到最短。
4. 提醒使用者注意 WebKit 風險。 不要點可疑連結；在未更新的裝置上，光是造訪網站或複製到剪貼簿都可能外洩資料。
5. 把它變成常態流程。 練好「快速且一致地推完一次純資安更新」的肌肉，每一次都做得到。

---

可立可如何協助您

可立可是全球唯一同時具備 Jamf Elite Partner、MSP 與 MSSP 三項認證的合作夥伴，在半導體、電子製造、金融、政府與教育領域累積多年 Apple 裝置管理導入經驗。

• 更新快速派送 — 宣告式軟體更新管理與最低 OS 政策，讓像 26.5.2 這樣的版本能迅速覆蓋每一台裝置
• 機隊風險能見度 — 即時掌握哪些裝置還沒更新，並讓最高風險的使用者優先完成修補
• 託管式（NaaS）維運 — 把「快速推完整個機隊」變成例行的服務成果，而不是每個版本一次的救火

延伸閱讀：WWDC26 裝置管理重點整理 · iOS 26.3 零日漏洞 · Apple MDM 完整指南

聯繫可立可 預約免費諮詢，一起把貴公司機隊的風險空窗期壓到最短。

---

參考來源

• About the security content of iOS 26.5.2 and iPadOS 26.5.2 — Apple 官方安全公告
• About the security content of macOS Tahoe 26.5.2 — Apple 官方安全公告
• Apple security releases（安全更新總覽）