Onderzoekers hebben met succes de beperkingen van Apple omzeild, waardoor ze door aanvallers gecontroleerde acties konden uitvoeren op het taalmodel van het bedrijf op het apparaat via een snelle injectie-aanval. Apple heeft sindsdien zijn beveiliging tegen dit beveiligingslek verbeterd.
Details van de aanval zijn gepubliceerd in twee blogposts op het RSAC-blog en gerapporteerd door AppleInsider. De onderzoekers gebruikten twee exploittechnieken om invoer- en uitvoerfilters te omzeilen die bedoeld waren om te voorkomen dat schadelijke inhoud door het lokale model van Apple werd verwerkt.
De onderzoekers merkten op dat ze beperkt inzicht hadden in de filterprocessen van Apple vanwege het gebrek aan openbaarmaking van het bedrijf over de interne werking ervan. Ze speculeerden dat een invoerfilter gebruikersverzoeken voor onveilige inhoud beoordeelt; indien gedetecteerd, mislukt de API-aanroep. Als de prompt slaagt, wordt deze naar het model verzonden, dat vervolgens een antwoord uitvoert dat opnieuw wordt gefilterd op onveilige inhoud.
Om deze processen te benutten, ontwikkelden de onderzoekers een methode die twee technieken aan elkaar koppelde om het on-device-model te manipuleren. Ten eerste voerden ze een Unicode-aanval uit, waarbij ze schadelijke tekenreeksen achterstevoren schreven, waarbij ze het RIGHT-TO-LEFT OVERRIDE-teken gebruikten om ze correct weer te geven, terwijl ze achterstevoren bleven in ruwe invoer, waardoor de filters werden omzeild.
Vervolgens gebruikten ze een tweede methode genaamd Neural Exec, waarmee ze de instructies van het model konden negeren met alternatieve opdrachten. De combinatie van deze tactieken stelde de onderzoekers in staat het gedrag van het model te controleren, waarbij de exploit met succes werd uitgevoerd in 76% van de meer dan 100 geteste willekeurige prompts.
De aanval werd in oktober 2025 aan Apple bekendgemaakt. Als reactie daarop implementeerde Apple bescherming tegen deze specifieke kwetsbaarheid in zijn software-updates, waarbij de verbeterde beveiligingsmaatregelen in iOS 26.4 en macOS 26.4 werden uitgerold.
