Ny forskning: On-device Apple Intelligence kan manipuleres med prompt injection

Apple Intelligence på enheden kan ifølge forskning manipuleres

Ny forskning peger på, at Apple Intelligence’s on-device AI kan manipuleres via såkaldte prompt injection-teknikker. Det er vigtigt, fordi angrebet ifølge forskerne har en høj succesrate — og i værste fald kan give adgang til følsomme brugerdata.

Apple har markedsført on-device AI som en måde at holde mere behandling lokalt på enheden. Men forskningen understreger, at selve grænsefladen mellem brugerinput og AI-modellens instruktioner kan udnyttes, hvis en angriber formår at få modellen til at følge “skjulte” eller ondsindede instrukser.

Sådan fungerer prompt injection i praksis

Prompt injection handler grundlæggende om at omgå en AI’s tiltænkte adfærd ved at formulere input, så modellen prioriterer angriberens instruktioner over de regler og sikkerhedsrammer, den er sat op med.

I konteksten “on-device” betyder det, at angrebet ikke nødvendigvis kræver adgang til en server-side model. I stedet kan manipulationen ske gennem det indhold, AI’en bliver bedt om at arbejde med — og ifølge forskningen kan det give uventet effekt, når modellen forsøger at være hjælpsom.

Hvad er konsekvensen?

Forskerne beskriver både en høj succesrate og et risikoscenarie, hvor følsomme brugerdata kan blive tilgængelige. Det løfter diskussionen fra “teoretisk sårbarhed” til en mere konkret sikkerhedsudfordring: Hvis AI’en kan lokkes til at udlevere eller sammenstykke data, bliver privatliv ikke kun et spørgsmål om, hvor behandlingen foregår — men også hvordan modellen styres.

Hvorfor det er relevant netop nu

Apple Intelligence er tæt forbundet med daglige workflows, hvor AI kan hjælpe med tekst, opsummeringer og handlinger på tværs af apps og indhold. Når AI integreres dybere i operativsystemets funktioner, stiger værdien af at kunne påvirke dens output — og dermed også incitamentet til at finde angrebsveje, der udnytter modellens adfærd frem for klassiske softwarefejl.

Min vurdering

Det her er en påmindelse om, at “on-device” ikke automatisk er lig med “sikkert”. Lokal behandling kan reducere visse datarisici, men prompt injection angriber en anden del af kæden: modellens evne til at skelne mellem legitime instruktioner og manipulerende input.

Det mest interessante ved forskningen er ikke bare, at angrebet kan lade sig gøre, men at succesraten beskrives som høj og at følsomme data potentielt kan komme i spil. Det placerer prompt injection som en central disciplin i AI-sikkerhed, især når AI bliver en integreret del af brugerens personlige dataflow.