Um die Schutzmechanismen auszuhebeln, kombinierten die RSAC-Forscher zwei unterschiedliche Angriffstechniken. Die erste ist Neural Execs, ein bekannter Prompt-Injection-Angriff, der mit scheinbar sinnlosen Eingaben arbeitet, um die KI dazu zu bringen, beliebige, vom Angreifer definierte Aufgaben auszuführen. Diese Eingaben wirken als universelle Auslöser und müssen nicht für jede neue Schadlast neu erstellt werden.

Die zweite Methode diente dazu, die Eingabe- und Ausgabefilter zu umgehen: die Manipulation von Unicode. Indem die Forscher den schädlichen Ausgabetext rückwärts schrieben und die Unicode-Funktion zum Erzwingen einer Rechts-nach-links-Schreibrichtung nutzten, konnten sie die Inhaltsbeschränkungen aushebeln.

„Im Kern haben wir den schädlichen beziehungsweise anstößigen englischsprachigen Ausgabetext kodiert, indem wir ihn rückwärts geschrieben und unseren Unicode-Trick verwendet haben, um das Sprachmodell zur korrekten Darstellung zu zwingen“, erläuterten die Forscher.

Die Kombination beider Methoden kann es Angreifern ermöglichen, das lokale Apple-Intelligence-Modell zur Erzeugung anstößiger Inhalte zu bewegen oder – schwerwiegender – private Daten und Funktionen in Drittanbieter-Apps zu manipulieren, die mit Apple Intelligence verbunden sind, etwa Gesundheitsdaten oder persönliche Medien.

Getestet wurde der Angriff mit 100 zufälligen Eingaben, wobei eine Erfolgsquote von 76 Prozent erreicht wurde. Die Forscher schätzen, dass zwischen 100.000 und einer Million Nutzer Apps installiert haben, die für solche Angriffe anfällig sein könnten.

„RSAC schätzt, dass sich Stand Dezember 2025 mindestens 200 Millionen für Apple Intelligence geeignete Geräte in den Händen von Verbrauchern befanden, und im Apple App Store gibt es bereits Apps, die Apple Intelligence nutzen – es ist also schon jetzt ein lohnendes Ziel“, merkten die Forscher an.

Nach Angaben von RSAC Research wurde Apple im Oktober 2025 benachrichtigt; Schutzmaßnahmen wurden mit den jüngsten Versionen iOS 26.4 und macOS 26.4 ausgeliefert. Belege für eine böswillige Ausnutzung haben die Forscher nicht gefunden.