吳明宜研究人員在 RSA 安全大會上公布新型間接注入攻擊手法,可引導大型語言模型洩漏資訊或產出不當言論,連以本機端 LLM 模式運行的 Apple Intelligence 也遭到繞過。
Apple Intelligence 是 Apple 開發並整合於 iOS 、 macOS 與 iPadOS 的個人人工智慧系統,可為用戶執行摘要或撰寫郵件等任務。 Apple Intelligence 主要直接在 Apple Silicon 平台運用本機端 LLM 來執行任務,根據使用者獨特環境(如訊息、相片和行程)來驅動人工智慧功能。對於複雜的推理任務,Apple Intelligence 透過私有雲端運算 (Private Cloud Compute, PCC) 將請求轉移到 Apple 專屬雲端架構上執行的基礎模型。
由於部署於本機端,Apple Intelligence 理論上比一般雲端系統更為安全,且內建護欄與篩選器,可防範提示注入 (Prompt Injection) 攻擊,包含防止其在回應中洩漏機密或說出粗俗語言。
然而在 RSAC 大會上,瑞士研究人員公布能繞過本機端 LLM 輸入輸出篩選器及內在護欄的手法。該研究結合兩種方法:一是神經執行 (Neural Exec),二是 Unicode 操弄。神經執行為一種已知提示注入攻擊法,攻擊者使用人類看來無意義的輸入來誘導人工智慧執行攻擊者定義的任意任務。這些輸入扮演通用觸發器,不需依不同標的重製。
第二個方法是 Unicode 操弄。研究人員使用 Unicode 由右到左覆寫的功能進行字元逆轉攻擊 (Bidirectional Text Attack, BiDi Attack) 。在此類攻擊中,研究人員輸入由右向左的文字(如阿拉伯文或倒置的英文),迫使 LLM 讀取並產出由左向右的語言。在輸入提示中,研究人員結合上述兩種方法成功迫使 Apple Intelligence LLM 生成不雅回應,更重要的是能操弄 Apple Intelligence 整合的第三方應用程式內的隱私資料,像是個人資訊或健康資訊。
研究人員測試了 100 個隨機提示,繞過 Apple Intelligence 的成功率達 76% 。他們估計全球有 10 萬到 100 萬用戶手機上安裝的 App 可能遭到此類攻擊。 RSAC 估計,截至 2025 年 12 月,全球至少有 2 億台能執行 Apple Intelligence 的裝置,且 App Store 也開始主打能使用 Apple Intelligence 的消費者 App,使其成為高價值的攻擊目標。
研究人員已在 2025 年 10 月通知 Apple 此項系統漏洞,而 Apple 也已釋出 iOS 26.4 與 macOS 26.4 修補漏洞。目前尚未發現惡意濫用此漏洞的跡象。
來源:SecurityWeek