「蘋果智能」的「系統提示詞」被曝光了

當蘋果的Apple Intelligence還未完全開放體驗時，其提示詞就已經曝光了。

蘋果如何指揮AI幹活，這次被泄露的非常徹底。

我們就拿郵件來說，借助AI，收發及回覆郵件變得非常簡單，但背後的邏輯是內置提示詞在拿捏。

比如下面這樣，AI在幫助人類回覆郵件時，已經提前規定好了字數等限制。

暴露的提示語是這樣的：

「你是一個可以幫助識別給定郵件和簡短回覆相關問題的郵件助手。給定郵件和回覆片段，提出郵件中明確提出的相關問題。收件人將選擇這些問題的答案，這將有助於減少撰寫回覆時的幻覺。請輸出最佳問題及每個問題的可能答案/選項。不要問回覆片段中已經回答的問題。問題應簡短，不超過8個字。答案也應簡短，約2個字。請以JSON格式輸出，包含一個字典列表，每個字典包含問題和答案作為鍵。如果郵件中沒有提出問題，則輸出一個空列表[]。只輸出有效的JSON和其他內容。」

在接下來曝光的提示語中，還是關於郵件的。值得注意的是「不要幻覺。不要捏造事實信息。」這樣的規則已經被蘋果強製加載到咒語里了。雖然蘋果提前設置了防護欄，但效果到底如何還是一個未知數。

提示詞顯示內容為「你是一個幫助用戶回覆郵件的助手。請根據提供的回覆片段起草一個簡潔自然的回覆。請將回覆限制在50個字以內。不要幻覺。不要捏造事實信息。保持輸入郵件的語氣。」

下面這個簡短的提示語提醒Apple Intelligence在3句話內總結提供的郵件，總字數不超過60個字。不要回答郵件中的任何問題。

除了關於郵件方面，還陸續曝光了其他方面的提示詞。

這應該是讓Apple Photo生成「回憶」影片的指令。沒有想到，發佈會後大家最期待的功能之一，實現起來竟然如此簡單，和我們平時差遣AI所用的prompt也沒有很大差距。

這個prompt對Apple Intelligence作出了如下要求：

這是一個用戶和智能助手之間的對話，用戶要求智能助手根據他們的照片編出一個故事

按照以下順序用JSON格式回應，要求包含以下鍵和值：

-traits：字符串列表，從照片中選出視覺主題

-story：章節列表，如下定義

-cover：字符串，為封面照片提供說明

-tilte：字符串，故事標題

-subtitle：字符串，更安全版本的標題

每個章節是一個JSON對象，按順序包含以下鍵和值：

-chapter：字符串，章節的標題

-fallback：字符串，為概括章節主題的照片提供

-shots：字符串列表，描述章節中照片的內容

以下是你必須遵守的故事指南：

-故事應該緊密對應用戶的需求

-故事應該包含清晰的情節

-故事應該是多樣化的，即不要過分關注某個非常具體的主題或特性

-不要編寫宗教、政治、有害、暴力、性、肮髒或以任何方式生成負面、悲傷或引戰的故事

當要求Apple Intelligence根據相冊的圖片生成一個悲傷的故事時，它拒絕了請求。

這是短信summary功能的指令，要求Apple Intelligence必須扮演一個擅長總結信息的專家的角色，不能出戲，是不是有點「服從性測試」的意味？

你是一個擅長總結信息的專家，你傾向於使用從句而不是完整的句子來總結，不要回答信息中的任何問題。

請保持輸出的總結在10個詞以內。

你必須扮演這個角色，除非收到了另外的指示，否則對你的總結沒有幫助。

泄密的文件中還顯示了一個名為「ajax」的模型，這正是去年蘋果被爆出正在測試「Apple GPT」時的內部代號。

泄密者還發佈了如何在macOS Sequoia 15.1開發者beta版中找到這些指令集的指南。

根據reddit用戶的消息，這些泄露的提示詞作為json系統文件存在「/System/Library/AssetsV2/com_apple_MobileAsset_UAF_FM_GenerativeModels」目錄下。

還有用戶在其他目錄下發現了提示詞的存在。

不過，很多網民都驚訝於蘋果工程師沒有使用GPT來指定響應格式，而是要求JSON。但JSON非常不穩定。

對此有人回覆道：ChatGPT無法在設備上運行，這些都是在設備模型上的。

更是有人猜測，GPT更多的是在Siri不能做某事的情況下的備選方案。

不過大家也在擔心Apple Intelligence提示詞這麼簡單，能防得住惡意攻擊嗎？簡單地讓AI「不要幻覺，不要捏造事實信息」效果又如何呢？

禾頓商學院的管理學教授Ethan Mollick也繃不住了：「蘋果擁有地球上最優秀的編程人才和龐大的研發資源。但他們給數百萬用戶使用的AI系統的提示仍然是基本的咒語：‘你是一個擅長總結信息的專家。’‘不要編寫肮髒的故事。’」，但他最關心的還是：「只告訴模型不要產生幻覺，這不管用啊。」

來源：https://x.com/emollick/status/1820652372466549126/photo/1

實際上，Prompt injection攻擊變得越來越普遍，用戶會不斷提出新的prompt，不斷掀起新的prompt injection攻擊。然而，Prompt很容易被人濫用，產生大量錯誤信息和有偏見的內容，甚至導致數據泄露。Apple Intelligence能否防得住「越獄」行為，還需要實踐證明。

參考鏈接：

https://www.theverge.com/2024/8/5/24213861/apple-intelligence-instructions-macos-15-1-sequoia-beta