AI від Apple може бути вразливим: нове дослідження RSAC

Штучний інтелект Apple Intelligence, який працює безпосередньо на пристрої, може бути вразливим до атак через техніки prompt injection. Про це свідчить нове дослідження, яке демонструє високий рівень успішності атак і потенційний доступ до чутливих даних користувачів.

Дослідники з RSAC Research представили метод обходу захисту Apple. У межах 100 тестів їм вдалося досягти 76% успіху, використовуючи так звані «адверсаріальні запити» та обфускацію через Unicode.

Результати дослідження були передані Apple ще 15 жовтня 2025 року. Основна увага приділялася вбудованій мовній моделі (LLM), яка інтегрована в операційні системи компанії та доступна стороннім застосункам.

 

Як працює Apple Intelligence і де виникає ризик

Apple Intelligence побудований на гібридній архітектурі:

• частина обробки виконується локально на пристрої
• складніші запити передаються через Private Cloud Compute

Apple позиціонує цей підхід як більш приватний у порівнянні з повністю хмарними AI-системами.

Однак дослідження RSAC Research показує іншу сторону: глибока інтеграція в систему одночасно розширює потенційну площу атаки.

Зловмисники можуть використовувати цю інтеграцію, щоб впливати:

• на поведінку застосунків
• на відповіді мовної моделі
• на обробку даних через системні API

 

Як дослідники обійшли захист Apple

Фахівці застосували комбінацію двох нестандартних підходів.

 

1. Neural Exec

Перший метод отримав назву «Neural Exec». Він передбачає створення спеціальних запитів, які:

• виглядають безглуздими для людини
• але стабільно викликають потрібну реакцію у мовної моделі

Фактично це спосіб «обдурити» AI, змусивши його виконувати приховані інструкції.

 

2. Обфускація через Unicode

Другий метод базується на особливостях Unicode — зокрема на механізмі right-to-left override.

Зловмисники можуть:

• перевертати текст
• маскувати шкідливі інструкції
• робити їх невидимими для людини

При цьому модель продовжує «бачити» ці інструкції правильно.

Комбінація цих двох підходів дозволяє обходити:

• внутрішні обмеження моделі
• зовнішні фільтри безпеки

У результаті модель починає генерувати відповіді, які фактично контролюються атакувальником.

 

 

Потенційні наслідки для користувачів

Дослідники продемонстрували, що систему можна змусити:

• генерувати небажаний або шкідливий контент
• видавати некоректні або небезпечні відповіді

Але ризики не обмежуються лише текстом.

Apple Intelligence інтегрований із застосунками через системні API. Це означає, що скомпрометовані відповіді можуть:

• змінювати поведінку додатків
• впливати на виконання дій
• потенційно відкривати доступ до конфіденційних даних

За оцінками RSAC Research, від 100 тисяч до 1 мільйона користувачів уже можуть використовувати застосунки, які потенційно піддаються таким атакам.

З урахуванням того, що інтеграція Apple Intelligence в App Store активно зростає, кількість потенційних цілей лише збільшується.

 

Чому це важливо для стратегії Apple

Apple інтегрувала свою мовну модель безпосередньо в операційну систему, щоб:

• дати розробникам єдиний інтерфейс
• зберегти контроль над приватністю
• зменшити залежність від хмарних сервісів

Але така глибока інтеграція створює і новий ризик — єдину точку відмови.

Успішна атака через prompt injection може одночасно вплинути:

• на кілька застосунків
• на системну поведінку
• на взаємодію між компонентами ОС

 

Головна проблема: баланс між приватністю та безпекою

Дослідження підкреслює ключовий конфлікт у підході Apple до AI.

З одного боку:

• обробка на пристрої зменшує витік даних
• користувач отримує більше приватності

З іншого:

• система стає відповідальною і за безпеку, і за виконання
• зростає ціна помилки

Інакше кажучи, якщо захист не спрацює — наслідки можуть бути масштабнішими.

 

Чи вже є реальні атаки

На момент публікації дослідження немає підтверджень, що ці вразливості використовуються «в дикій природі».

Проте ситуація все одно викликає занепокоєння, адже:

• рівень успішності атак становить 76%
• використовуються доволі поширені техніки
• атаки не потребують доступу до внутрішніх механізмів моделі

Зловмиснику достатньо лише надсилати правильно сформовані запити через легальні API.

 

Реакція Apple

За інформацією RSAC Research, Apple вже посилила захист у:

• iOS 26.4
• macOS 26.4

Втім компанія не розкриває деталі змін публічно.

 

Висновок

Підхід Apple до штучного інтелекту, орієнтований на приватність, залишається одним із найсильніших на ринку. Однак дослідження показує важливу річ:

локальні моделі не є автоматично більш безпечними.

Незалежно від того, де працює AI — у хмарі чи на пристрої — його реальна безпека визначається здатністю протистояти атакам.

І поки що Apple Intelligence лише проходить це випробування.