Výzkumníci popsali útok, který dokázal přimět lokální model Apple Intelligence ignorovat ochrany a vykonat cizí pokyny. Apple už zranitelnost opravilo v iOS 26.4 a macOS 26.4.
Ochrany Apple Intelligence se podařilo obejít kombinací dvou technik, které přiměly lokální model zpracovat škodlivý pokyn a současně proklouznout přes vstupní i výstupní filtr. Pro uživatele je důležité hlavně to, že Apple už problém opravil v iOS 26.4 a macOS 26.4.
Jak se útok podařilo postavit
Výzkumníci spojili obyčejně znějící prompt injection s trikem, který převracel škodlivý text pozpátku a pomocí Unicode znaku RIGHT-TO-LEFT OVERRIDE ho na obrazovce zobrazil správně. V surových datech ale zůstal text obrácený, takže filtry, které ho kontrolovaly, neviděly to, co viděl uživatel.
Na to navázali druhou technikou nazvanou Neural Exec. Ta v praxi slouží k přepsání původních instrukcí modelu novými pokyny a donutí ho poslouchat útočníka místo toho, co měl dělat původně. Díky kombinaci obou kroků se jim podařilo přimět model Apple Intelligence, aby se choval jinak, než bezpečnostní pravidla dovolovala.
Podstatné je, že nešlo o klasický „hack“ systému jako takového, ale o útok na způsob, jak model vyhodnocuje vstupy a výstupy. Právě u AI funkcí je tohle citlivé místo: stačí vhodně poskládaný text a model může začít reagovat na něco, co na první pohled vypadá neškodně.
Co to znamená pro běžné uživatele
V testech výzkumníci uvádějí 76% úspěšnost ve 100 náhodných pokusech, což je na podobný typ útoku velmi vysoké číslo. Pro běžného uživatele to neznamená, že by Apple Intelligence byla „zlomená“ ve všech scénářích, ale že ochrany nejsou neprůstřelné a bezpečnostní vrstva kolem AI je pořád v pohybu.
Apple na zjištění reagovalo a zranitelnost podle výzkumníků opravilo. Ochrany se měly dostat do iOS 26.4 a macOS 26.4, takže pokud používáte Apple Intelligence na iPhonu nebo Macu, vyplatí se mít systém aktualizovaný. U AI funkcí je dnes aktualizace ještě důležitější než dřív, protože chyby se často netýkají jen aplikace, ale přímo modelu a jeho filtrování obsahu.
Celý případ zároveň připomíná, že Apple sice staví na důrazu na soukromí a lokální zpracování, ale i lokální model může narazit na bezpečnostní hranice. Pro uživatele je to hlavně signál, že nová AI vrstva v systému není statická a Apple ji bude muset průběžně tvrdit stejně jako jiné části iOS a macOS.
Pokud vás téma zajímá víc, přečtěte si také Apple čelí žalobě kvůli tréninku AI na videích z YouTube.
Podrobnosti přinesl také 9to5mac.
Chcete k tomu něco dodat? Napište krátce proč.