I ricercatori hanno aggirato con successo le restrizioni di Apple, consentendo loro di eseguire azioni controllate dagli aggressori sul modello linguistico on-device dell’azienda attraverso un tempestivo attacco injection. Da allora Apple ha rafforzato le sue misure di protezione contro questa vulnerabilità.

I dettagli dell’attacco sono stati pubblicati in due post sul blog RSAC e riportati da AppleInsider. I ricercatori hanno utilizzato due tecniche di exploit per bypassare i filtri di input e output progettati per impedire che i contenuti dannosi venissero elaborati dal modello locale di Apple.

I ricercatori hanno notato di avere una comprensione limitata dei processi di filtraggio di Apple a causa della mancanza di divulgazione da parte dell’azienda riguardo al suo funzionamento interno. Hanno ipotizzato che un filtro di input valuti le richieste degli utenti per i contenuti non sicuri; se rilevato, la chiamata API fallisce. Se il prompt viene superato, viene inviato al modello, che quindi restituisce una risposta che viene nuovamente filtrata per contenuti non sicuri.

You Might Also Like
La ricerca OpenAI dimostra che le allucinazioni LLM sono matematicamente inevitabili e propone soluzioni costose
La ricerca OpenAI dimostra che le allucinazioni LLM sono matematicamente inevitabili e propone soluzioni costose
DeepSeek lancia il modello V4 con un contesto di un milione di parole
DeepSeek lancia il modello V4 con un contesto di un milione di parole
Canva AI 2.0 arriva in anteprima con importanti miglioramenti in termini di prestazioni
Canva AI 2.0 arriva in anteprima con importanti miglioramenti in termini di prestazioni

Per sfruttare questi processi, i ricercatori hanno sviluppato un metodo che concatenava due tecniche per manipolare il modello sul dispositivo. Innanzitutto, hanno eseguito un attacco Unicode, scrivendo stringhe dannose al contrario, utilizzando il carattere RIGHT-TO-LEFT OVERRIDE per renderle correttamente visualizzate mantenendole al contrario nell’input non elaborato, bypassando così i filtri.

Hanno quindi utilizzato un secondo metodo chiamato Neural Exec, che ha permesso loro di sovrascrivere le istruzioni del modello con comandi alternativi. La combinazione di queste tattiche ha permesso ai ricercatori di controllare il comportamento del modello, eseguendo con successo l’exploit nel 76% degli oltre 100 prompt casuali testati.

L’attacco è stato comunicato ad Apple nell’ottobre 2025. In risposta, Apple ha implementato protezioni contro questa specifica vulnerabilità nei suoi aggiornamenti software, implementando misure di sicurezza avanzate in iOS 26.4 e macOS 26.4.

Credito immagine in primo piano