苹果智能系统遭提示注入攻击 被指绕过安全防护
研究人员近日披露,通过结合特定技术手段,成功绕过苹果设备上本地大语言模型的安全防护机制,迫使模型执行攻击者控制的指令。该漏洞在2025年10月向苹果公司报告后,已通过iOS 26.4和macOS 26.4版本更新修复。
攻击方法结合了Unicode RIGHT-TO-LEFT OVERRIDE字符与Neural Exec技术。研究者将有害字符串反向书写,利用Unicode字符使其在用户界面正常显示,但在系统内部仍保持反向,从而规避输入和输出过滤机制。同时,通过Neural Exec技术,攻击者可覆盖模型的原始指令,实现对模型行为的操控。
研究人员在测试中构建了三类输入池:系统提示、有害字符串和正常文本内容,随机组合生成攻击载荷。在100次随机测试中,攻击成功率达76%。尽管苹果未公开模型内部架构细节,研究者推测系统采用“输入过滤→模型处理→输出过滤”的三级安全流程。
研究团队已在RSAC博客发布两篇技术报告,详细说明攻击原理与防护建议。苹果回应称,已加固受影响系统,并在最新系统版本中部署防护措施。该事件凸显AI系统,特别是本地部署模型在安全设计上的挑战,引发业界对AI安全框架的进一步关注。
编辑点评
此次苹果智能系统漏洞暴露了当前AI本地化部署中的关键安全短板。尽管苹果强调数据隐私和设备端处理,但提示注入攻击表明,模型指令控制与输入输出过滤仍存在可被利用的边界。攻击者利用Unicode字符绕过视觉与系统层面的检测,结合Neural Exec实现指令劫持,反映出当前AI安全防护体系对非传统输入格式和语义攻击的应对不足。
从全球科技产业角度看,该事件将推动AI安全标准向更精细化方向演进,尤其在设备端大模型(on-device LLM)领域。苹果作为行业标杆,其安全响应速度和漏洞修复机制将影响其他厂商的策略。同时,该漏洞也凸显了AI系统透明度与安全之间不可调和的张力——为保护知识产权和安全,厂商常选择不公开模型内部机制,但这也为攻击者提供了利用“黑箱”漏洞的空间。
未来,AI安全框架可能需引入更动态的上下文感知过滤、多模态输入验证机制,以及更严格的指令执行边界控制。对监管机构而言,此次事件或成为推动AI安全立法和行业标准的催化剂,特别是在涉及用户隐私与平台责任的领域。