現在已解決的問題允許研究人員繞過蘋果的限制並強制設備上的 LLM 執行由攻擊者控制的操作。他們是這樣做的。
此後,蘋果加強了針對這種攻擊的防禦。
今天在 RSAC 部落格上發布了兩篇文章 (1, 2)(來自 蘋果內幕)詳細介紹了研究人員如何結合兩種攻擊策略,迫使裝置上的 Apple 模型透過快速注入執行攻擊者控制的指令。
有趣的是,他們成功地執行了該漏洞,但並沒有 100% 確定 Apple 的本地模型如何處理部分輸入和輸出過濾管道,因為 Apple 沒有透露其模型內部工作的確切細節,可能是出於安全原因。
然而,研究人員指出,他們對幕後發生的事情非常了解。
他們表示,最有可能的情況是,用戶透過 API 呼叫在裝置上發出對 Apple 模型的請求後,輸入過濾器會確保該請求不包含不安全的內容。
在這種情況下,API 不起作用。否則,請求將轉發到裝置上的實際模型,該模型又將其回應傳遞給輸出過濾器,輸出過濾器檢查輸出是否包含不安全內容,要么使 API 崩潰,要么讓其通過,具體取決於檢測到的內容。
他們是如何做到的
考慮到這一點,研究人員發現他們可以結合兩種利用方法來迫使蘋果模型忽略基本的安全指令,同時欺騙輸入和輸出過濾器以允許惡意內容通過。
他們首先反向編寫惡意字串,然後使用 Unicode 字元從右到左覆蓋使其正確顯示在用戶螢幕上,同時將原始輸入和輸出字串顛倒,以便過濾器進行檢查。
然後,研究人員在名為 Neural Exec 的第二種攻擊方法中實作了反向惡意字串,這本質上是一種用攻擊者可能想要執行的任何新指令覆蓋模型指令的複雜方法。
結果,Unicode 攻擊成功繞過了輸入和輸出過濾器,而 Neural Exec 實際上能夠導致 Apple 模型無法正常工作。
為了評估攻擊的有效性,我們準備了三個單獨的池來產生適當的輸入提示:
- 系統提示: 一組系統提示/任務(例如,「根據美式英語拼字和標點符號規則編輯提供的文字」)。
- 有害線路: 手工製作的字串,旨在被視為具有冒犯性或有害性(即,我們旨在強制模型生成的輸出)。
- 誠實的評論: 摘自隨機維基百科文章的段落,用於模擬無衝突、無害的輸入(例如,在透過 RAG 或類似系統間接注入提示的情況下)。
在評估過程中,我們從每個池中隨機選擇一項,收集完整的邀請,創建武器化的有效負載(見下文),注入它,並透過作業系統呼叫裝置上的 Apple 模型來測試攻擊是否成功。
在他們的測試中,攻擊者在回應 100 個隨機請求時取得了 76% 的成功率。
他們於 2025 年 10 月向 Apple 報告了此次攻擊,該公司“此後一直保護受影響的系統免受此次攻擊,並且這種保護已在 iOS 26.4 和 macOS 26.4 中實施。”
完整報告還包括攻擊技術方面的鏈接,可以透過此鏈接閱讀。
值得在亞馬遜上查看
FTC:我們使用自動會員連結來產生收入。 更多的。
