Sicherheitsforscher haben gezeigt, dass Apples On-Device-KI durch gezielte Eingaben manipuliert werden kann. Die Erfolgsquote lag bei 76 Prozent – potenziell sind Hunderttausende Nutzer betroffen.
Apple hat Apple Intelligence als datenschutzfreundliche Alternative zu cloudbasierten KI-Systemen positioniert: Ein lokales Sprachmodell läuft direkt auf dem Gerät, komplexere Aufgaben werden über Private Cloud Compute verarbeitet. Doch genau diese tiefe Integration in das Betriebssystem birgt Risiken. Forscher von RSAC Research haben nachgewiesen, dass das On-Device-Modell durch sogenannte Prompt-Injection-Techniken manipuliert werden kann – mit einer Erfolgsquote von 76 Prozent in 100 Tests.
Die Ergebnisse wurden Apple bereits am 15. Oktober 2025 mitgeteilt. Im Fokus der Untersuchung stand das lokale Large Language Model, das in Apples Betriebssysteme eingebettet ist und über System-APIs auch Drittanbieter-Apps zur Verfügung steht. Die Forscher zeigen, dass die tiefere Systemintegration, die Apple bewusst gewählt hat, gleichzeitig die Angriffsfläche vergrößert.
Wie der Angriff funktioniert
Die Forscher kombinierten zwei Techniken, um Apples Sicherheitsmaßnahmen zu umgehen. Die erste Methode namens „Neural Exec“ nutzt speziell konstruierte Eingaben, die für Menschen sinnlos erscheinen, vom Sprachmodell aber als konkrete Anweisungen interpretiert werden.
Die zweite Technik macht sich eine Unicode-Funktion zunutze: den sogenannten Right-to-Left Override. Damit lassen sich Textabschnitte visuell umkehren, sodass eingebettete Anweisungen für menschliche Prüfer unsichtbar werden – das Sprachmodell liest sie jedoch korrekt. In Kombination umgehen beide Methoden sowohl die internen Schutzmechanismen des Modells als auch externe Filter.
Das Ergebnis: Das Modell kann dazu gebracht werden, Ausgaben zu erzeugen, die vom Angreifer kontrolliert werden.
Warum das problematisch ist
Das Risiko geht weit über unerwünschte Textausgaben hinaus. Da Apple Intelligence direkt über System-APIs mit Apps verbunden ist, können manipulierte Antworten das Verhalten von Apps beeinflussen oder sensible Nutzerdaten offenlegen. Ein erfolgreicher Prompt-Injection-Angriff könnte sich gleichzeitig auf mehrere Apps und systemweite Funktionen auswirken.
RSAC schätzt, dass zwischen 100.000 und einer Million Nutzer bereits Apps verwenden, die potenziell anfällig sind. Da immer mehr Apps Apple-Intelligence-Funktionen integrieren, wächst die Zahl möglicher Angriffsziele stetig.
Angreifer benötigen dabei keinen direkten Zugriff auf das Modell selbst – es reicht aus, manipulierte Eingaben über legitime APIs zu senden. Das macht den Angriff besonders schwer zu erkennen und zu verhindern.
Apples Reaktion
Apple hat laut den Forschern bereits mit iOS 26.4 und macOS 26.4 Schutzmaßnahmen verstärkt, ohne die konkreten Änderungen öffentlich zu benennen. Die jüngste Zusammenarbeit mit Anthropic im Rahmen von Project Glasswing zeigt, dass Apple die Sicherheit seiner Systeme zunehmend auch mit KI-gestützten Mitteln vorantreiben will.
Zum Zeitpunkt der Veröffentlichung gibt es keine Hinweise darauf, dass die Schwachstelle aktiv ausgenutzt wird – der Angriff ist derzeit rein theoretisch. Allerdings sind die verwendeten Techniken wie Prompt Injection und Unicode-Manipulation in der Sicherheitsforschung gut dokumentiert und vergleichsweise einfach umzusetzen.
Was das für Apple Intelligence bedeutet
Die Ergebnisse offenbaren ein grundsätzliches Spannungsfeld in Apples KI-Strategie. Die Entscheidung, Modelle lokal auszuführen, begrenzt zwar die Datenexposition gegenüber der Cloud – aber sie macht das Betriebssystem gleichzeitig zum Gatekeeper und zur Ausführungsschicht. Wenn die Schutzmaßnahmen versagen, sind die Konsequenzen entsprechend weitreichend.
Apples Ansatz bleibt aus Datenschutz-Perspektive der richtige. Doch die RSAC-Forschung zeigt, dass lokale Modelle nicht automatisch sicherer sind als cloudbasierte Systeme. Die tatsächliche Sicherheit hängt davon ab, wie gut ein Modell adversariale Eingaben abwehren kann – unabhängig davon, wo es läuft. (Bild: Shutterstock / Primakov)
- Apple fordert Samsung-Daten in US-Kartellverfahren an
- iOS 26.4.1 aktiviert Diebstahlschutz auf Firmen-iPhones
- Self Service Repair: Neue Teile für MacBook Neo & Co.
- iOS 26.4.1 behebt schweren iCloud-Sync-Bug
- iPhone dominiert Smartphone-Ranking: Fünf Modelle in den Top 10
- iOS 26.4.1 ist da: Apple veröffentlicht Bugfix-Update
- Apple bei Reparierbarkeit auf dem letzten Platz – mit einer Ausnahme
- WhatsApp bekommt neue CarPlay-App mit vollem Funktionsumfang
- Apple entwickelt KI-Tool für UI-Prototypen
- Apple und Anthropic jagen gemeinsam Sicherheitslücken
- Studio Display XDR erhält FDA-Zulassung für Radiologie
- Apple Patent: Vision Pro könnte modular und aufrüstbar werden
- Steam Link kommt nativ auf die Apple Vision Pro
- Dark Matter Staffel 2 startet am 28. August auf Apple TV
- Apple Arcade Mai 2026: Nick Jr. Replay und neue Spiele
- MacBook Neo: Nachfrage übersteigt Apples Chip-Vorrat
- Vision Pro: Insider berichten über chaotischen Store-Launch
- China verstärkt Angriffe auf Apples Chipfertiger TSMC
- Sammelklage wirft Apple KI-Training mit YouTube-Videos vor
