Forscher haben die Beschränkungen von Apple erfolgreich umgangen und ihnen ermöglicht, durch einen Prompt-Injection-Angriff von Angreifern kontrollierte Aktionen auf dem geräteinternen Sprachmodell des Unternehmens auszuführen. Seitdem hat Apple seine Schutzmaßnahmen gegen diese Sicherheitslücke verbessert.
Einzelheiten des Angriffs wurden in zwei Blogbeiträgen auf dem RSAC-Blog veröffentlicht und von AppleInsider gemeldet. Die Forscher verwendeten zwei Exploit-Techniken, um Eingabe- und Ausgabefilter zu umgehen, die verhindern sollen, dass schädliche Inhalte durch das lokale Modell von Apple verarbeitet werden.
Die Forscher stellten fest, dass sie nur begrenzte Kenntnisse über die Filterprozesse von Apple hatten, da das Unternehmen seine internen Abläufe nicht offenlegte. Sie spekulierten, dass ein Eingabefilter Benutzeraufforderungen auf unsichere Inhalte prüft; Wenn es erkannt wird, schlägt der API-Aufruf fehl. Wenn die Eingabeaufforderung erfolgreich ist, wird sie an das Modell gesendet, das dann eine Antwort ausgibt, die erneut nach unsicheren Inhalten gefiltert wird.
Um diese Prozesse auszunutzen, entwickelten die Forscher eine Methode, die zwei Techniken zur Manipulation des Modells auf dem Gerät verkettete. Zuerst führten sie einen Unicode-Angriff aus, indem sie schädliche Zeichenfolgen rückwärts schrieben und das RIGHT-TO-LEFT OVERRIDE-Zeichen nutzten, um sie korrekt darzustellen, während sie in der Roheingabe rückwärts blieben, wodurch die Filter umgangen wurden.
Anschließend verwendeten sie eine zweite Methode namens Neural Exec, die es ihnen ermöglichte, die Anweisungen des Modells durch alternative Befehle zu überschreiben. Die Kombination dieser Taktiken ermöglichte es den Forschern, das Verhalten des Modells zu kontrollieren und den Exploit in 76 % von über 100 getesteten zufälligen Eingabeaufforderungen erfolgreich auszuführen.
Der Angriff wurde Apple im Oktober 2025 bekannt gegeben. Als Reaktion darauf implementierte Apple Schutzmaßnahmen gegen diese spezifische Schwachstelle in seinen Software-Updates und führte die erweiterten Sicherheitsmaßnahmen in iOS 26.4 und macOS 26.4 ein.
