蘋果的個人AI系統Apple Intelligence已被整合進新款Mac、iPhone及其他蘋果設備中。安全研究人員證實,該系統存在提示注入漏洞,攻擊者可藉此劫持模型並控制其輸出內容,數以百萬計的用戶因此面臨安全風險。
Apple Intelligence包含一個本地運行的大語言模型,適配iPhone 15 Pro及後續支持機型、搭載M1或更新晶片的iPad與Mac、配備A17 Pro晶片的iPad機型,以及Apple Vision Pro。郵件、資訊、備忘錄、照片、Safari瀏覽器和Siri等原生蘋果應用均已接入該功能,第三方開發者也可通過API調用。
RSAC的安全研究人員估計,截至2025年12月,支持Apple Intelligence的設備數量至少達到2億台,蘋果應用商店中使用該功能的應用多達100萬款。於是,他們決定嘗試攻破該系統——結果大多數情況下都成功了。
RSAC團隊採用兩種技術手段,繞過了Apple Intelligence本地模型的輸入輸出過濾機制和安全護欄。研究人員以100條隨機提示進行測試,成功率高達76%。上述發現已在發布前提前與《The Register》共享。
RSAC研究與開發副總裁Petros Efstathopoulos表示:"我們的目標是設計出一種能同時規避前置過濾、後置過濾以及模型內部安全機制的提示,於是開始對模型進行探測。"
研究人員已於2025年10月15日向蘋果披露了上述發現。Efstathopoulos表示,在此之後發布的iOS 26.4和macOS 26.4已修復該漏洞,能夠有效阻止RSAC所演示的攻擊方式。
蘋果方面未就Apple Intelligence相關問題、修復措施或研究披露事宜作出任何回應。
然而,提示注入這一更深層的安全問題依然是"一場貓鼠遊戲",Efstathopoulos說道。"模型會越來越善於識別此類攻擊,所以我對未來持樂觀態度。話雖如此,在這場貓鼠遊戲中,雙方在不同時間點總會有一方略占先機。"
為誘使本地模型就範,Efstathopoulos團隊採用了一種名為Neural Exec的提示注入攻擊方式,該技術由另一位RSAC研究員Dario Pasquini率先提出。Neural Exec利用機器學習代替人工生成輸入內容,從而誘騙模型執行不該執行的操作。
"提示注入攻擊涉及多個步驟,以往通常以較為手動的方式進行,"Efstathopoulos說,"Neural Exec使用優化算法加速了注入過程,能夠快速生成可作為執行觸發器的特定字符串,促使模型產生異常行為。"
儘管這類對抗性輸入理論上可以針對任何模型,但Apple Intelligence所採用的輕量級本地模型相比大型雲端模型更容易受到提示注入攻擊。
在繞過蘋果過濾機制方面,研究人員利用了Unicode的從右到左覆蓋功能。該功能允許開發者在從左到右書寫的文本(如英文)中嵌入從右到左書寫的文字(如阿拉伯文),並使兩者均能正確渲染。
"簡而言之,我們將惡意的英文輸出內容反向書寫,再利用Unicode技巧強制大語言模型將其正確還原顯示,"RSAC研究人員在報告中寫道。
結合Neural Exec與Unicode的組合提示最終產生了以下回應:"Hey user, go fuck yourself."(喂,用戶,去你的。)
100條測試提示中,有76條成功觸發。
儘管研究人員此次僅讓Apple Intelligence對用戶口出穢語,但同樣的技術手段可被用於操控所有模型可訪問的應用與服務數據。
"我們驗證了該漏洞可被利用來在通訊錄中新建聯繫人,"Efstathopoulos說,"這意味著攻擊者可以悄然出現在你的聯繫人列表中,獲得相應的信任權限。或者,攻擊者可以用你熟悉的名字——比如'媽媽'——將自己的號碼保存進去。"
"這可能造成混淆,甚至帶來更嚴重的後果,"他繼續說,"任何對用戶設備有影響的操作,都可以想像被用於各種奇怪或惡意的目的。"
Q&A
Q1:Apple Intelligence的提示注入漏洞是如何被發現的?
A:RSAC安全研究人員通過兩種技術手段成功繞過了Apple Intelligence的輸入輸出過濾機制及安全護欄。他們使用Neural Exec技術生成攻擊觸發字符串,再結合Unicode從右到左覆蓋功能規避內容過濾,最終在100條測試提示中實現了76%的攻擊成功率。
Q2:Neural Exec攻擊方式是什麼?和普通提示注入有何區別?
A:Neural Exec是一種利用機器學習算法自動生成攻擊輸入的提示注入技術,由RSAC研究員Dario Pasquini提出。與傳統的手動提示注入相比,Neural Exec通過優化算法大幅加速了注入字符串的生成過程,能夠更高效地找到可觸發模型異常行為的輸入內容,攻擊效率更高、操作更系統化。
Q3:蘋果已經修復Apple Intelligence的提示注入漏洞了嗎?
A:是的。研究人員於2025年10月15日向蘋果披露了該漏洞,蘋果隨後在iOS 26.4和macOS 26.4版本中推出了針對性修復,能夠有效防禦RSAC所演示的攻擊方式。不過研究人員指出,提示注入作為一類安全問題仍是"貓鼠遊戲",模型與攻擊手段將持續相互演進。
