嘿，我完全懂你现在的困扰——High Sierra下给内核扩展授权后，一重启就失效，确实大概率和User-Approved Kernel Extension Loading机制有关，我给你几个可以自行排查和尝试修复的方向：

1. 确认授权记录的持久性 #

先验证系统的kext授权数据库有没有正确保存你的设置：

• 打开终端，执行以下命令查看已授权的kext列表：

  sudo sqlite3 /var/db/SystemPolicyConfiguration/KextPolicy 'SELECT * FROM kext_policy;'
  

  你可以在这里找到三个kext对应的bundle ID和开发者团队ID，先截图或者记录下来。
• 重启系统后，再执行一遍上面的命令，对比两次结果：
  • 如果授权记录消失了，说明KextPolicy数据库可能损坏，你可以尝试备份后重建：

    sudo cp /var/db/SystemPolicyConfiguration/KextPolicy /var/db/SystemPolicyConfiguration/KextPolicy.bak
    sudo sqlite3 /var/db/SystemPolicyConfiguration/KextPolicy 'DELETE FROM kext_policy;'
    

    重启后重新去「系统偏好设置-安全性与隐私」里授权你的kext，再验证是否还会丢失记录。

2. 排查内核加载日志 #

通过日志能直接定位kext加载失败的具体原因：

• 执行命令查看最近1小时的内核kext相关日志：

  log show --predicate 'process == "kernel" AND eventMessage CONTAINS "kext"' --last 1h
  

  重点找包含你kext bundle ID的报错，比如：
  • (libkern/kext) validation failure：说明kext本身签名或兼容性有问题
  • User approval required for kext：说明授权记录没有被系统正确读取
    这些日志能帮你区分是系统机制漏洞还是kext自身的问题。

3. 验证USB触发的kext逻辑 #

对于那个仅连接USB dongle才加载的kext，额外做这些检查：

• 打开kext的Info.plist，确认IOKitPersonalities里的USB设备匹配参数（idVendor、idProduct）和你的dongle完全一致
• 连接dongle后，用kextstat | grep [你的kext bundle ID]确认是否加载成功，同时查看日志里有没有设备匹配的相关记录

4. 临时测试性绕过（注意风险） #

如果只是想验证是否是系统机制漏洞，可以临时关闭内核扩展的严格验证：

• 重启电脑时按住Command+R进入恢复模式，打开终端执行：

  csrutil enable --without kext
  

• 重启回到正常系统后，加载你的kext并再次重启，看看是否还会失效。如果问题消失，那基本可以确认是User-Approved机制的漏洞，你提交Radar的做法很正确，建议在Radar里附上之前收集的日志和数据库对比信息，帮助苹果工程师更快定位修复。

内容的提问来源于stack exchange，提问作者Mike Crawford