AI от Apple может быть уязвимым: новое исследование RSAC

Искусственный интеллект Apple Intelligence, который работает непосредственно на устройстве, может быть уязвим к атакам с использованием техник prompt injection. Об этом свидетельствует новое исследование, демонстрирующее высокий уровень успешности атак и потенциальный доступ к чувствительным данным пользователей.

Исследователи из RSAC Research представили метод обхода защиты Apple. В рамках 100 тестов им удалось достичь 76% успеха, используя так называемые «адверсариальные запросы» и обфускацию через Unicode.

Результаты исследования были переданы Apple ещё 15 октября 2025 года. Основное внимание уделялось встроенной языковой модели (LLM), интегрированной в операционные системы компании и доступной сторонним приложениям.

 

Как работает Apple Intelligence и где возникает риск

Apple Intelligence построен на гибридной архитектуре:

• часть обработки выполняется локально на устройстве
• более сложные запросы передаются через Private Cloud Compute

Apple позиционирует этот подход как более приватный по сравнению с полностью облачными AI-системами.

Однако исследование RSAC Research показывает и другую сторону: глубокая интеграция в систему одновременно расширяет потенциальную поверхность атаки.

Злоумышленники могут использовать эту интеграцию, чтобы влиять:

• на поведение приложений
• на ответы языковой модели
• на обработку данных через системные API

 

Как исследователи обошли защиту Apple

Специалисты применили комбинацию двух нестандартных подходов.

 

1. Neural Exec

Первый метод получил название «Neural Exec». Он предполагает создание специальных запросов, которые:

• выглядят бессмысленными для человека
• но стабильно вызывают нужную реакцию у языковой модели

Фактически это способ «обмануть» AI, заставив его выполнять скрытые инструкции.

 

2. Обфускация через Unicode

Второй метод основан на особенностях Unicode — в частности, на механизме right-to-left override.

Злоумышленники могут:

• переворачивать текст
• маскировать вредоносные инструкции
• делать их невидимыми для человека

При этом модель продолжает «видеть» эти инструкции корректно.

Комбинация этих двух подходов позволяет обходить:

• внутренние ограничения модели
• внешние фильтры безопасности

 

 

В результате модель начинает генерировать ответы, которые фактически контролируются атакующим.

 

Потенциальные последствия для пользователей

Исследователи продемонстрировали, что систему можно заставить:

• генерировать нежелательный или вредоносный контент
• выдавать некорректные или опасные ответы

Однако риски не ограничиваются только текстом.

Apple Intelligence интегрирован с приложениями через системные API. Это означает, что скомпрометированные ответы могут:

• изменять поведение приложений
• влиять на выполнение действий
• потенциально открывать доступ к конфиденциальным данным

По оценкам RSAC Research, от 100 тысяч до 1 миллиона пользователей уже могут использовать приложения, потенциально подверженные таким атакам.

С учётом того, что интеграция Apple Intelligence в App Store активно растёт, количество возможных целей только увеличивается.

 

Почему это важно для стратегии Apple

Apple интегрировала свою языковую модель непосредственно в операционную систему, чтобы:

• предоставить разработчикам единый интерфейс
• сохранить контроль над приватностью
• снизить зависимость от облачных сервисов

Однако такая глубокая интеграция создаёт и новый риск — единую точку отказа.

Успешная атака через prompt injection может одновременно повлиять:

• на несколько приложений
• на системное поведение
• на взаимодействие между компонентами ОС

 

Главная проблема: баланс между приватностью и безопасностью

Исследование подчёркивает ключевой конфликт в подходе Apple к AI.

С одной стороны:

• обработка на устройстве снижает утечку данных
• пользователь получает больше приватности

С другой:

• система становится ответственной и за безопасность, и за выполнение
• возрастает цена ошибки

Иными словами, если защита не сработает — последствия могут быть более масштабными.

 

Есть ли уже реальные атаки

На момент публикации исследования нет подтверждений того, что эти уязвимости используются «в дикой природе».

Тем не менее ситуация вызывает обеспокоенность, поскольку:

• уровень успешности атак достигает 76%
• используются довольно распространённые техники
• атаки не требуют доступа к внутренним механизмам модели

Злоумышленнику достаточно лишь отправлять правильно сформированные запросы через легальные API.

 

Реакция Apple

По информации RSAC Research, Apple уже усилила защиту в:

• iOS 26.4
• macOS 26.4

При этом компания не раскрывает детали изменений публично.

 

Вывод

Подход Apple к искусственному интеллекту, ориентированный на приватность, остаётся одним из самых сильных на рынке. Однако исследование показывает важную вещь:

локальные модели не являются автоматически более безопасными.

Независимо от того, где работает AI — в облаке или на устройстве — его реальная безопасность определяется способностью эффективно противостоять атакам.

И пока Apple Intelligence только проходит это испытание.