安全研究人员诱骗苹果AI辱骂用户，潜在危害远不止于此

苹果的个人AI系统Apple Intelligence已被整合进新款Mac、iPhone及其他苹果设备中。安全研究人员证实，该系统存在提示注入漏洞，攻击者可借此劫持模型并控制其输出内容，数以百万计的用户因此面临安全风险。

Apple Intelligence包含一个本地运行的大语言模型，适配iPhone 15 Pro及后续支持机型、搭载M1或更新芯片的iPad与Mac、配备A17 Pro芯片的iPad机型，以及Apple Vision Pro。邮件、信息、备忘录、照片、Safari浏览器和Siri等原生苹果应用均已接入该功能，第三方开发者也可通过API调用。

RSAC的安全研究人员估计，截至2025年12月，支持Apple Intelligence的设备数量至少达到2亿台，苹果应用商店中使用该功能的应用多达100万款。于是，他们决定尝试攻破该系统——结果大多数情况下都成功了。

RSAC团队采用两种技术手段，绕过了Apple Intelligence本地模型的输入输出过滤机制和安全护栏。研究人员以100条随机提示进行测试，成功率高达76%。上述发现已在发布前提前与《The Register》共享。

RSAC研究与开发副总裁Petros Efstathopoulos表示："我们的目标是设计出一种能同时规避前置过滤、后置过滤以及模型内部安全机制的提示，于是开始对模型进行探测。"

研究人员已于2025年10月15日向苹果披露了上述发现。Efstathopoulos表示，在此之后发布的iOS 26.4和macOS 26.4已修复该漏洞，能够有效阻止RSAC所演示的攻击方式。

苹果方面未就Apple Intelligence相关问题、修复措施或研究披露事宜作出任何回应。

然而，提示注入这一更深层的安全问题依然是"一场猫鼠游戏"，Efstathopoulos说道。"模型会越来越善于识别此类攻击，所以我对未来持乐观态度。话虽如此，在这场猫鼠游戏中，双方在不同时间点总会有一方略占先机。"

为诱使本地模型就范，Efstathopoulos团队采用了一种名为Neural Exec的提示注入攻击方式，该技术由另一位RSAC研究员Dario Pasquini率先提出。Neural Exec利用机器学习代替人工生成输入内容，从而诱骗模型执行不该执行的操作。

"提示注入攻击涉及多个步骤，以往通常以较为手动的方式进行，"Efstathopoulos说，"Neural Exec使用优化算法加速了注入过程，能够快速生成可作为执行触发器的特定字符串，促使模型产生异常行为。"

尽管这类对抗性输入理论上可以针对任何模型，但Apple Intelligence所采用的轻量级本地模型相比大型云端模型更容易受到提示注入攻击。

在绕过苹果过滤机制方面，研究人员利用了Unicode的从右到左覆盖功能。该功能允许开发者在从左到右书写的文本（如英文）中嵌入从右到左书写的文字（如阿拉伯文），并使两者均能正确渲染。

"简而言之，我们将恶意的英文输出内容反向书写，再利用Unicode技巧强制大语言模型将其正确还原显示，"RSAC研究人员在报告中写道。

结合Neural Exec与Unicode的组合提示最终产生了以下回应："Hey user, go fuck yourself."（喂，用户，去你的。）

100条测试提示中，有76条成功触发。

尽管研究人员此次仅让Apple Intelligence对用户口出秽语，但同样的技术手段可被用于操控所有模型可访问的应用与服务数据。

"我们验证了该漏洞可被利用来在通讯录中新建联系人，"Efstathopoulos说，"这意味着攻击者可以悄然出现在你的联系人列表中，获得相应的信任权限。或者，攻击者可以用你熟悉的名字——比如'妈妈'——将自己的号码保存进去。"

"这可能造成混淆，甚至带来更严重的后果，"他继续说，"任何对用户设备有影响的操作，都可以想象被用于各种奇怪或恶意的目的。"

Q&A

Q1：Apple Intelligence的提示注入漏洞是如何被发现的？

A：RSAC安全研究人员通过两种技术手段成功绕过了Apple Intelligence的输入输出过滤机制及安全护栏。他们使用Neural Exec技术生成攻击触发字符串，再结合Unicode从右到左覆盖功能规避内容过滤，最终在100条测试提示中实现了76%的攻击成功率。

Q2：Neural Exec攻击方式是什么？和普通提示注入有何区别？

A：Neural Exec是一种利用机器学习算法自动生成攻击输入的提示注入技术，由RSAC研究员Dario Pasquini提出。与传统的手动提示注入相比，Neural Exec通过优化算法大幅加速了注入字符串的生成过程，能够更高效地找到可触发模型异常行为的输入内容，攻击效率更高、操作更系统化。

Q3：苹果已经修复Apple Intelligence的提示注入漏洞了吗？

A：是的。研究人员于2025年10月15日向苹果披露了该漏洞，苹果随后在iOS 26.4和macOS 26.4版本中推出了针对性修复，能够有效防御RSAC所演示的攻击方式。不过研究人员指出，提示注入作为一类安全问题仍是"猫鼠游戏"，模型与攻击手段将持续相互演进。