Tutkijat onnistuivat kiertämään Applen rajoitukset, jolloin he pystyivät suorittamaan hyökkääjien ohjaamia toimia yrityksen laitteessa olevalla kielimallilla nopealla injektiohyökkäyksellä. Apple on sittemmin tehostanut suojatoimiaan tätä haavoittuvuutta vastaan.
Hyökkäyksen yksityiskohdat julkaistiin kahdessa blogikirjoituksessa RSAC-blogissa, ja AppleInsider raportoi niistä. Tutkijat käyttivät kahta hyväksikäyttötekniikkaa ohittaakseen syöttö- ja lähtösuodattimet, jotka on suunniteltu estämään haitallista sisältöä käsittelemästä Applen paikallista mallia.
Tutkijat huomauttivat, että heillä oli rajallinen ymmärrys Applen suodatusprosesseista, koska yhtiö ei paljastanut sisäistä toimintaansa. He arvelivat, että syöttösuodatin arvioi käyttäjien kehotteet vaarallisesta sisällöstä. jos se havaitaan, API-kutsu epäonnistuu. Jos kehote läpäisee, se lähetetään mallille, joka sitten antaa vastauksen, joka suodatetaan uudelleen vaarallisen sisällön varalta.
Näiden prosessien hyödyntämiseksi tutkijat kehittivät menetelmän, joka ketjutti kaksi tekniikkaa laitteen mallin manipuloimiseksi. Ensin he suorittivat Unicode-hyökkäyksen, kirjoittivat haitallisia merkkijonoja taaksepäin ja käyttivät OIKEALTA VASEMMALLE OVERRIDE -merkkiä saadakseen ne hahmontamaan oikein pitäen ne taaksepäin raakasyötössä, ohittaen siten suodattimet.
Sitten he käyttivät toista menetelmää nimeltä Neural Exec, jonka avulla he voivat ohittaa mallin ohjeet vaihtoehtoisilla komennoilla. Näiden taktiikkojen yhdistelmä auttoi tutkijoita hallitsemaan mallin käyttäytymistä ja onnistui suorittamaan hyväksikäytön 76 prosentissa yli 100 testatusta satunnaisesta kehotuksesta.
Hyökkäys paljastui Applelle lokakuussa 2025. Vastauksena Apple otti ohjelmistopäivityksiinsä käyttöön suojauksia tätä haavoittuvuutta vastaan ja otti käyttöön iOS 26.4:n ja macOS 26.4:n parannetut suojatoimenpiteet.
