报道称安全公司 XM Cyber 披露新型 macOS 攻击技术，可以提权禁用部分企业安全工具。

　　该公司计划今年8月参加 Black Hat Arsenal 活动，届时将展示名为 XPC Hunter 的开源工具，不过在公开之前，研究人员已通知相关厂商。

　　XM Cyber 指出攻击者拿到目标 Mac 的标准用户账户后，可以无需管理员权限、内核漏洞或绕过系统完整性保护等，借助特权 XPC 调用，实现禁用部分企业安全与管理工具操作。

　　根据披露内容，研究人员通过滥用特权 XPC 方法，从标准用户账户卸载了 CrowdStrike Falcon 安全传感器；同时又借助另一组特权 XPC 调用链，关闭了 Kandji 的卸载保护，并停用其终端防护功能。

　　上述演示不需要内核漏洞，也不需要绕过系统完整性保护。Kandji 此后已修复被报告的问题，并在公开漏洞数据库中登记为 CVE-2026-39118。苹果目前尚未发布与这项研究相关的安全公告，也未独立验证 XM Cyber 的结论。

　　注：XPC 是苹果用于应用与后台服务通信的框架，常用于让应用请求管理权限相关操作，同时把高权限功能与前台软件分离。

　　研究人员称，攻击起点是用户先启动一个合法签名应用，macOS 随后缓存其信任指纹。保留这层信任关系清下，攻击者接着可修改该应用包中的部分内容并植入恶意载荷。