
Bilde: Apple
Prompt injection traff Apple Intelligence – og det sier mye
Hva skjedde
9to5Mac skriver at forskere har beskrevet hvordan en prompt injection kunne omgå Apples restriksjoner og få Apple Intelligence sin on-device språkmodell til å utføre handlinger kontrollert av en angriper. 9to5Mac opplyser også at problemet nå er korrigert. AppleInsider omtaler forskning på prompt injection mot Apple Intelligence og at angripere kan manipulere modellen med teknikker som blant annet inkluderer «adversarial prompts» og obfuskering.
Hva det betyr
For brukere betyr dette først og fremst at «AI på enheten» ikke automatisk er trygt. Selv om data ikke sendes til en sky, kan modellen fortsatt påvirkes av innhold den prosesserer – for eksempel tekst som kommer fra nettsider, dokumenter eller andre apper.
For utviklere er implikasjonen større: i det øyeblikket en LLM kan gjøre mer enn å «skrive tekst» (for eksempel utløse handlinger, hente data, sende noe videre), må den behandles som et potensielt angrepspunkt. Prompt injection er i praksis sosial manipulering av en modell: du lurer den til å bryte reglene sine.
Hva som konkret kunne gjøres i denne saken (hvilke handlinger, hvilke API-er, hvilke iOS/macOS-versjoner), får vi ikke detaljene om i kildene her. Derfor kan vi ikke fastslå risikoomfanget for vanlige brukere. Men det er nok til å trekke en viktig konklusjon: sikkerhet i AI handler like mye om produktdesign som om modellkvalitet.
Min vurdering
Apple har solgt Apple Intelligence med en tydelig «privacy by design»-fortelling, og on-device er et sterkt virkemiddel. Men bransjen er i ferd med å lære den harde veien at trusselmodellen flytter seg.
Før var spørsmålet: «hvem ser dataene mine i skyen?» Nå er spørsmålet oftere: «hva kan modellen få lov til å gjøre på mine vegne?» Hvis en språkmodell får tilgang til handlinger (søk, deling, app-integrasjoner), må hver eneste kobling være designet med antakelsen om at modellen kan bli lurt.
Jeg tror dette blir Apples store lakmustest i Europa – også i Norge. Det er ikke nok å si at data ikke forlater enheten. Myndigheter, bedrifter og brukere kommer til å kreve dokumenterbare sikkerhetsgrenser: logging, tillatelser, tydelig UI for hva en AI-agent forsøker å gjøre, og gode «failsafes». Og utviklere må slutte å tenke på prompt injection som et akademisk fenomen. Det er bare den nye varianten av input-validering.
Bilde: Apple
Hva du bør gjøre
- Oppdater OS og Apple Intelligence-relaterte komponenter når Apple slipper sikkerhetsfikser (ikke utsett unødvendig).
- Vær ekstra skeptisk til «AI som kan gjøre ting for deg» i apper – sjekk hvilke tillatelser og integrasjoner du har aktivert.
- Utviklere: design verktøy-/handlingstilgang med minst mulig privilegier og tydelige brukerbekreftelser.
- Bedrifter/skoler: vurder retningslinjer for hvilke AI-funksjoner som kan brukes mot interne dokumenter.
- Følg med på videre tekniske detaljer fra forskerne/Apple for å forstå omfang og hvilke versjoner som var berørt.
Kilder
Relaterte artikler
Apple Fitness+ tar menopause på alvor
Nye treningsøkter og helsefunksjoner viser hvordan Apple bygger kvinnehelse dypere inn i Watch-, Helse- og Fitness+-økosystemet.

macOS 27 peker mot en Mac du kan ta på
Sidecar får fingerstyring, macOS får mer berøringslogikk, og flere tolker det som forarbeid til en mer radikal MacBook. Men bevisene er ikke det samme som en lansering.

Apple Wallet blir smartere – men ikke likt i Norge
iOS 27 gjør Wallet mer nyttig for pass, medlemskap og handel. Samtidig er Tap to Share foreløpig ikke tilgjengelig i EØS.

