Компания Apple позиционирует свою систему Apple Intelligence как максимально приватную и безопасную альтернативу облачным сервисам. Однако специалисты из RSAC Research выяснили, что встроенная в устройства корпорации языковая модель уязвима к атакам типа «промпт-инъекция» (prompt injection). В ходе исследования экспертам удалось обойти защитные алгоритмы в 76% случаев из ста попыток.
Для взлома использовалась комбинированная техника, получившая название Neural Exec. Суть «инъекции» заключается в том, чтобы с помощью специфически составленного текста заставить нейросеть проигнорировать изначальные инструкции разработчиков и выполнить стороннюю команду. В данном случае исследователи формировали запросы, которые выглядят как бессмысленный набор символов для человека, но воспринимаются алгоритмом как прямое руководство к действию. Чтобы обойти встроенные фильтры Apple, вредоносные команды маскировались с помощью символов Unicode – в частности, использовался алгоритм изменения направления текста (справа налево) . В результате скрытый текст оставался читаемым для нейросети, но незаметным для систем безопасности.
Архитектура Apple Intelligence устроена так, что небольшая языковая модель работает прямо на устройстве, а сложные вычисления отправляются в защищённое облако Private Cloud Compute. При этом локальная нейросеть глубоко интегрирована в операционную систему и доступна сторонним приложениям через API. Как отмечают в RSAC Research, такая интеграция создаёт единую точку отказа. Если злоумышленник успешно внедряет вредоносный промпт, он может не только заставить ИИ генерировать оскорбительный текст, но и повлиять на работу самого приложения, а в перспективе – получить доступ к конфиденциальным данным пользователя.
По предварительным оценкам, риску могут быть подвержены от сотен тысяч до миллиона человек, которые уже пользуются приложениями с поддержкой новых ИИ-инструментов. Для проведения атаки хакерам не требуется доступ к весам модели или её внутренней архитектуре – достаточно передать вредоносный запрос через легальные интерфейсы разработчика.
Информация об уязвимости была передана в Apple ещё 15 октября 2025 года. Сообщается, что корпорация уже усилила механизмы защиты в новых версиях iOS и macOS, хотя технические детали этих исправлений не раскрываются.
На сегодняшний день нет никаких доказательств того, что данная уязвимость применялась злоумышленниками в реальных кибератаках, – пока угроза остаётся сугубо теоретической. Тем не менее этот случай наглядно демонстрирует слабую сторону текущей стратегии Apple. Локальная обработка данных действительно защищает информацию от перехвата в сети, однако она не делает саму языковую модель неуязвимой. Надёжность ИИ в конечном счёте зависит от его способности распознавать и блокировать вредоносные команды, независимо от того, где он работает — на сервере или в вашем смартфоне.
