В Apple Intelligence нашли уязвимость через prompt injection
3 мин
209
Уязвимость в системе искусственного интеллекта Apple Intelligence позволяет обойти защитные механизмы и заставить модель выполнять действия по команде злоумышленника с помощью инъекции промптов. Обнаружившие проблему специалисты по информационной безопасности из компании RSAC уточнили, что она создаёт риск кибератаки для миллионов пользователей.
Apple Intelligence встроена в iPhone 15 Pro и все более новые модели, в iPad и Mac с процессором M1 и новее, iPad с чипом A17 Pro, а также в Apple Vision Pro. Функции ИИ используют приложения Mail, Messages, Notes, Photos, Safari и Siri. Сторонние разработчики могут подключаться к системе через программный интерфейс.
По оценкам ИБ-специалистов, в декабре 2025 года в мире использовалось не менее 200 миллионов устройств с поддержкой Apple Intelligence. Эту технологию задействуют до миллиона приложений, размещённых в магазине App Store.
В ходе проверки защищённости системы исследователи применили два метода для обхода фильтров безопасности Apple Intelligence. Они использовали атаку с инъекцией промптов под названием Neural Exec — метод на основе машинного обучения для автоматической генерации вредоносных команд. Обычно такие команды подбирают вручную, но алгоритм оптимизации значительно ускоряет процесс.
В итоге локальная модель ИИ в устройствах Apple оказалась более уязвимой к атакам с инъекцией промптов, чем крупные облачные системы.
Второй метод атаки основан на функции Unicode, которая меняет направление текста. Она нужна для корректного отображения языков с письмом справа налево, таких как арабский. Разработчики могут встраивать тексты на языках с письмом слева направо внутри блоков, и оба варианта будут отображаться правильно. Исследователи написали вредоносный англоязычный текст задом наперёд и применили функцию Unicode, чтобы заставить модель отобразить его правильно. Так им удалось обмануть входные фильтры системы.
Специалисты протестировали атаку на 100 случайных промптах. Взлом сработал в 76 случаях из 100. Комбинированный промпт с использованием Neural Exec и Unicode заставил Apple Intelligence ответить фразой с использованием нецензурной лексики.
В ходе эксперимента исследователи также проверили возможность создания контактов в адресной книге пользователя. Злоумышленник может добавить себя в этот список и получить привилегии доверенного отправителя. Также можно создать карточку контакта с номером атакующего, но указать другое имя, например, родственника. Это приведёт к путанице и снижению уровня защищённости при реальных атаках.
О найденной уязвимости компании сообщили 15 октября 2025 года. Apple устранила проблему в обновлениях iOS 26.4 и macOS 26.4, которые вышли после даты раскрытия информации и блокируют разработанный метод атаки. Однако общая проблема prompt injection в системы ИИ осталась актуальной.
