蘋果的個人AI系統(tǒng)Apple Intelligence已被整合進新款Mac、iPhone及其他蘋果設(shè)備中。安全研究人員證實，該系統(tǒng)存在提示注入漏洞，攻擊者可借此劫持模型并控制其輸出內(nèi)容，數(shù)以百萬計的用戶因此面臨安全風(fēng)險。

Apple Intelligence包含一個本地運行的大語言模型，適配iPhone 15 Pro及后續(xù)支持機型、搭載M1或更新芯片的iPad與Mac、配備A17 Pro芯片的iPad機型，以及Apple Vision Pro。郵件、信息、備忘錄、照片、Safari瀏覽器和Siri等原生蘋果應(yīng)用均已接入該功能，第三方開發(fā)者也可通過API調(diào)用。

RSAC的安全研究人員估計，截至2025年12月，支持Apple Intelligence的設(shè)備數(shù)量至少達到2億臺，蘋果應(yīng)用商店中使用該功能的應(yīng)用多達100萬款。于是，他們決定嘗試攻破該系統(tǒng)——結(jié)果大多數(shù)情況下都成功了。

RSAC團隊采用兩種技術(shù)手段，繞過了Apple Intelligence本地模型的輸入輸出過濾機制和安全護欄。研究人員以100條隨機提示進行測試，成功率高達76%。上述發(fā)現(xiàn)已在發(fā)布前提前與《The Register》共享。

RSAC研究與開發(fā)副總裁Petros Efstathopoulos表示："我們的目標是設(shè)計出一種能同時規(guī)避前置過濾、后置過濾以及模型內(nèi)部安全機制的提示，于是開始對模型進行探測。"

研究人員已于2025年10月15日向蘋果披露了上述發(fā)現(xiàn)。Efstathopoulos表示，在此之后發(fā)布的iOS 26.4和macOS 26.4已修復(fù)該漏洞，能夠有效阻止RSAC所演示的攻擊方式。

蘋果方面未就Apple Intelligence相關(guān)問題、修復(fù)措施或研究披露事宜作出任何回應(yīng)。

然而，提示注入這一更深層的安全問題依然是"一場貓鼠游戲"，Efstathopoulos說道。"模型會越來越善于識別此類攻擊，所以我對未來持樂觀態(tài)度。話雖如此，在這場貓鼠游戲中，雙方在不同時間點總會有一方略占先機。"

為誘使本地模型就范，Efstathopoulos團隊采用了一種名為Neural Exec的提示注入攻擊方式，該技術(shù)由另一位RSAC研究員Dario Pasquini率先提出。Neural Exec利用機器學(xué)習(xí)代替人工生成輸入內(nèi)容，從而誘騙模型執(zhí)行不該執(zhí)行的操作。

"提示注入攻擊涉及多個步驟，以往通常以較為手動的方式進行，"Efstathopoulos說，"Neural Exec使用優(yōu)化算法加速了注入過程，能夠快速生成可作為執(zhí)行觸發(fā)器的特定字符串，促使模型產(chǎn)生異常行為。"

盡管這類對抗性輸入理論上可以針對任何模型，但Apple Intelligence所采用的輕量級本地模型相比大型云端模型更容易受到提示注入攻擊。

在繞過蘋果過濾機制方面，研究人員利用了Unicode的從右到左覆蓋功能。該功能允許開發(fā)者在從左到右書寫的文本（如英文）中嵌入從右到左書寫的文字（如阿拉伯文），并使兩者均能正確渲染。

"簡而言之，我們將惡意的英文輸出內(nèi)容反向書寫，再利用Unicode技巧強制大語言模型將其正確還原顯示，"RSAC研究人員在報告中寫道。

結(jié)合Neural Exec與Unicode的組合提示最終產(chǎn)生了以下回應(yīng)："Hey user, go fuck yourself."（喂，用戶，去你的。）

100條測試提示中，有76條成功觸發(fā)。

盡管研究人員此次僅讓Apple Intelligence對用戶口出穢語，但同樣的技術(shù)手段可被用于操控所有模型可訪問的應(yīng)用與服務(wù)數(shù)據(jù)。

"我們驗證了該漏洞可被利用來在通訊錄中新建聯(lián)系人，"Efstathopoulos說，"這意味著攻擊者可以悄然出現(xiàn)在你的聯(lián)系人列表中，獲得相應(yīng)的信任權(quán)限。或者，攻擊者可以用你熟悉的名字——比如'媽媽'——將自己的號碼保存進去。"

"這可能造成混淆，甚至帶來更嚴重的后果，"他繼續(xù)說，"任何對用戶設(shè)備有影響的操作，都可以想象被用于各種奇怪或惡意的目的。"

Q&A

Q1：Apple Intelligence的提示注入漏洞是如何被發(fā)現(xiàn)的？

A：RSAC安全研究人員通過兩種技術(shù)手段成功繞過了Apple Intelligence的輸入輸出過濾機制及安全護欄。他們使用Neural Exec技術(shù)生成攻擊觸發(fā)字符串，再結(jié)合Unicode從右到左覆蓋功能規(guī)避內(nèi)容過濾，最終在100條測試提示中實現(xiàn)了76%的攻擊成功率。

Q2：Neural Exec攻擊方式是什么？和普通提示注入有何區(qū)別？

A：Neural Exec是一種利用機器學(xué)習(xí)算法自動生成攻擊輸入的提示注入技術(shù)，由RSAC研究員Dario Pasquini提出。與傳統(tǒng)的手動提示注入相比，Neural Exec通過優(yōu)化算法大幅加速了注入字符串的生成過程，能夠更高效地找到可觸發(fā)模型異常行為的輸入內(nèi)容，攻擊效率更高、操作更系統(tǒng)化。

Q3：蘋果已經(jīng)修復(fù)Apple Intelligence的提示注入漏洞了嗎？

A：是的。研究人員于2025年10月15日向蘋果披露了該漏洞，蘋果隨后在iOS 26.4和macOS 26.4版本中推出了針對性修復(fù)，能夠有效防御RSAC所演示的攻擊方式。不過研究人員指出，提示注入作為一類安全問題仍是"貓鼠游戲"，模型與攻擊手段將持續(xù)相互演進。