Das stimmt schon. Der Anmelde-Schlüsselbund ist normalerweise offen. Sonst würde man auch alle naselang nach dem Öffnen gefragt, wenn ein Programm dort hinterlegte Daten braucht.
Dieser "Workaround" ist aber auch nicht besonders sinnvoll. Das "böse" Programm kann ja einfach im Hintergrund warten, bis man mal wieder den Schlüsselbund aufsperrt, was ziemlich häufig passiert. Genau in dem Moment kann es dann zugreifen.
In dem Artikel stehen aber weiter keine Sachen drin, die eine Einschätzung erleichtern würden. Im Prinzip steht da nur, dass jemand behauptet, einen Weg gefunden zu haben, alle offenen Schlüsselbunde außer dem iCloud-Schlüsselbund mit einem Programm auslesen zu können. Mehr Informationen gibt es nicht. Es mag stimmen, es mag nur unter gewissen Bedingungen möglich sein, es könnte auch nur unter abstrus sinnlosen Voraussetzungen möglich sein. Niemand weiß anscheinend, wie die Bedingungen sind und ein Dritter hat das auch noch nicht bestätigen können.
Also für mich: Sehr unbefriedigend, aber keine Panik.