Hopp til hovedinnhold
En iPad viser en Snarveier-automasjon som bruker Apple Intelligence-handlinger og en sprakmodell til a behandle notater

Bilde: Apple

Prompt injection traff Apple Intelligence – og det sier mye

Sasan KamaliSasan Kamali2 min lesetid

Hva skjedde

9to5Mac skriver at forskere har beskrevet hvordan en prompt injection kunne omgå Apples restriksjoner og få Apple Intelligence sin on-device språkmodell til å utføre handlinger kontrollert av en angriper. 9to5Mac opplyser også at problemet nå er korrigert. AppleInsider omtaler forskning på prompt injection mot Apple Intelligence og at angripere kan manipulere modellen med teknikker som blant annet inkluderer «adversarial prompts» og obfuskering.

Hva det betyr

For brukere betyr dette først og fremst at «AI på enheten» ikke automatisk er trygt. Selv om data ikke sendes til en sky, kan modellen fortsatt påvirkes av innhold den prosesserer – for eksempel tekst som kommer fra nettsider, dokumenter eller andre apper.

For utviklere er implikasjonen større: i det øyeblikket en LLM kan gjøre mer enn å «skrive tekst» (for eksempel utløse handlinger, hente data, sende noe videre), må den behandles som et potensielt angrepspunkt. Prompt injection er i praksis sosial manipulering av en modell: du lurer den til å bryte reglene sine.

Hva som konkret kunne gjøres i denne saken (hvilke handlinger, hvilke API-er, hvilke iOS/macOS-versjoner), får vi ikke detaljene om i kildene her. Derfor kan vi ikke fastslå risikoomfanget for vanlige brukere. Men det er nok til å trekke en viktig konklusjon: sikkerhet i AI handler like mye om produktdesign som om modellkvalitet.

Min vurdering

Apple har solgt Apple Intelligence med en tydelig «privacy by design»-fortelling, og on-device er et sterkt virkemiddel. Men bransjen er i ferd med å lære den harde veien at trusselmodellen flytter seg.

Før var spørsmålet: «hvem ser dataene mine i skyen?» Nå er spørsmålet oftere: «hva kan modellen få lov til å gjøre på mine vegne?» Hvis en språkmodell får tilgang til handlinger (søk, deling, app-integrasjoner), må hver eneste kobling være designet med antakelsen om at modellen kan bli lurt.

Jeg tror dette blir Apples store lakmustest i Europa – også i Norge. Det er ikke nok å si at data ikke forlater enheten. Myndigheter, bedrifter og brukere kommer til å kreve dokumenterbare sikkerhetsgrenser: logging, tillatelser, tydelig UI for hva en AI-agent forsøker å gjøre, og gode «failsafes». Og utviklere må slutte å tenke på prompt injection som et akademisk fenomen. Det er bare den nye varianten av input-validering.

Apple Intelligence-funksjoner vist samtidig paa iPhone, Mac og iPad Bilde: Apple

Hva du bør gjøre

  • Oppdater OS og Apple Intelligence-relaterte komponenter når Apple slipper sikkerhetsfikser (ikke utsett unødvendig).
  • Vær ekstra skeptisk til «AI som kan gjøre ting for deg» i apper – sjekk hvilke tillatelser og integrasjoner du har aktivert.
  • Utviklere: design verktøy-/handlingstilgang med minst mulig privilegier og tydelige brukerbekreftelser.
  • Bedrifter/skoler: vurder retningslinjer for hvilke AI-funksjoner som kan brukes mot interne dokumenter.
  • Følg med på videre tekniske detaljer fra forskerne/Apple for å forstå omfang og hvilke versjoner som var berørt.

Kilder

Relaterte artikler