Безопасность нейросетевых функций становится главным вызовом для производителей смартфонов в 2026 году. Недавнее исследование специалистов RSAC (RSA Conference) показало, что даже закрытая экосистема Apple Intelligence не гарантирует защиты от атак типа «инъекция промптов» (prompt injection). Исследователям удалось обойти многоуровневые фильтры Apple, используя комбинацию классических хакерских уловок и особенностей обработки текста.
Суть уязвимости: обход через Unicode
Основная проблема современных LLM (больших языковых моделей) заключается в том, что они воспринимают инструкции разработчика и данные пользователя в одном потоке. Чтобы предотвратить выполнение вредоносных команд, Apple внедрила входные и выходные фильтры. Однако исследователи нашли способ сделать вредоносный текст «невидимым» для этих систем мониторинга, при этом оставив его понятным для самого ИИ.
Ключевым инструментом атаки стал символ управления Unicode — RTLO (Right-to-Left Override). Этот служебный символ обычно используется для корректного отображения текстов на языках с письмом справа налево (например, арабском). В данном сценарии хакеры записывали вредоносную команду в обратном порядке, а символ RTLO заставлял систему визуально отображать её правильно. Поскольку фильтры Apple искали прямые вхождения запрещенных слов, зеркально отраженный текст успешно проходил проверку, но на этапе исполнения нейросеть «понимала» истинное намерение промпта.
Neural Exec: универсальный триггер
Второй компонент атаки получил название Neural Exec. Это метод формирования промпта, который использует специфический набор символов (похожих на бессвязный шум), выступающих в роли универсального триггера. Такой «шум» заставляет локальную модель Apple Intelligence игнорировать системные инструкции (Guardrails) и переключаться на выполнение команд злоумышленника.
В ходе тестов на 100 случайных запросах исследователи добились успеха в 76% случаев. Это критически высокий показатель для системы, которая позиционируется как эталон конфиденциальности и безопасности.
Риски для пользователей Android и Apple
Хотя исследование фокусировалось на iOS и macOS, проблема имеет фундаментальный характер для всей индустрии мобильных устройств. Основная опасность заключается в интеграции ИИ с личными данными. Если стороннее приложение имеет доступ к Apple Intelligence и одновременно обрабатывает внешние данные (например, почту или веб-страницы), злоумышленник может отправить письмо с внедренной инъекцией. При попытке ИИ-ассистента суммаризировать это письмо, атака активируется и может привести к:
-
Несанкционированному доступу к данным о здоровье и фитнесе;
-
Манипуляции личными файлами и сообщениями;
-
Обходу цензурных и этических ограничений модели.
На текущий момент Apple уже выпустила исправления в версиях iOS 26.4 и macOS 26.4, которые нацелены на блокировку подобных манипуляций с Unicode. Однако этот случай подтверждает, что локальное исполнение ИИ на устройстве (On-device AI), хоть и защищает от утечек в облако, создает новый вектор атак через интерфейсы приложений.
