Los investigadores eludieron con éxito las restricciones de Apple, lo que les permitió ejecutar acciones controladas por atacantes en el modelo de lenguaje del dispositivo de la empresa mediante un ataque de inyección rápida. Desde entonces, Apple ha mejorado sus salvaguardias contra esta vulnerabilidad.
Los detalles del ataque se publicaron en dos publicaciones del blog RSAC y fueron informados por AppleInsider. Los investigadores utilizaron dos técnicas de explotación para evitar los filtros de entrada y salida diseñados para evitar que el modelo local de Apple procese contenido dañino.
Los investigadores notaron que tenían una comprensión limitada de los procesos de filtrado de Apple debido a la falta de divulgación por parte de la compañía sobre su funcionamiento interno. Especularon que un filtro de entrada evalúa las indicaciones del usuario en busca de contenido inseguro; si se detecta, la llamada API falla. Si se aprueba el mensaje, se envía al modelo, que luego genera una respuesta que se filtra nuevamente para detectar contenido no seguro.
Para explotar estos procesos, los investigadores desarrollaron un método que encadenaba dos técnicas para manipular el modelo del dispositivo. Primero, ejecutaron un ataque Unicode, escribiendo cadenas dañinas al revés, utilizando el carácter OVERRIDE DE DERECHA A IZQUIERDA para hacerlas renderizar correctamente mientras las mantenían al revés en la entrada sin formato, evitando así los filtros.
Luego emplearon un segundo método llamado Neural Exec, que les permitió anular las instrucciones del modelo con comandos alternativos. La combinación de estas tácticas permitió a los investigadores controlar el comportamiento del modelo, ejecutando exitosamente el exploit en el 76% de más de 100 mensajes aleatorios probados.
El ataque fue revelado a Apple en octubre de 2025. En respuesta, Apple implementó protecciones contra esta vulnerabilidad específica en sus actualizaciones de software, implementando medidas de seguridad mejoradas en iOS 26.4 y macOS 26.4.
