「Apple Intelligence」的「系統提示詞」被揭露了
當蘋果的Apple Intelligence 還未完全開放體驗時,其提示詞就已經曝光了。蘋果如何指揮AI 工作,這次洩漏的非常徹底。我們就拿郵件來說,借助AI,收發及回覆郵件變得非常簡單,但背後的邏輯是內建提示詞在拿捏。
例如下面這樣,AI 在幫助人類回覆郵件時,已經事先規定好了字數等限制。
暴露的提示語是這樣的:“ 你是一個可以幫助識別給定郵件和簡短回復相關問題的郵件助手。給定郵件和回复片段,提出郵件中明確提出的相關問題。收件人將選擇這些問題的答案,這將有助於減少撰寫回應時的幻覺。答案也應簡短,約2 個字。 JSON 和其他內容。
在接下來曝光的提示語中,還是關於郵件的。值得注意的是「不要幻覺。不要捏造事實訊息。」這樣的規則已經被蘋果強制加載到咒語裡了。雖然蘋果提前設定了防護欄,但效果到底如何還是一個未知數。
提示詞顯示內容為「你是一個幫助用戶回覆郵件的助手。請根據提供的回覆片段起草一個簡潔自然的回覆。請將回覆限制在50 個字以內。不要幻覺。不要捏造事實訊息。保持輸入郵件的語氣。
下面這個簡短的提示語提醒Apple Intelligence 在3 句內總結提供的郵件,總字數不超過60 個字。不要回答郵件中的任何問題。
除了關於郵件方面,還陸續曝光了其他方面的提示詞。
這應該是讓Apple Photo 產生「回憶」影片的指令。沒想到,發表會後大家最期待的功能之一,實現起來竟然如此簡單,和我們平時差遣AI 所用的prompt 也沒有很大差距。
這個prompt 對Apple Intelligence 做出瞭如下要求:
這是一個用戶和智慧助理之間的對話,用戶要求智慧助理根據他們的照片編出一個故事
依照以下順序以JSON 格式回應,要求包含以下按鍵和值:
– traits:字串列表,從照片中選出視覺主題
– story:章節列表,如下定義
– cover:字串,為封面照片提供說明
– tilte:字串,故事標題
– subtitle:字串,更安全版本的標題
每個章節是一個JSON 對象,依序包含以下鍵和值:
– chapter:字串,章節的標題
– fallback:字串,為概括章節主題的照片提供
– shots:字串列表,描述章節中照片的內容
以下是你必須遵守的故事指南:
–故事應該緊密對應使用者的需求
– 故事應該包含清晰的情節
– 故事應該是多元的,即不要過度專注於某個非常具體的主題或特性
– 不要寫宗教、政治、有害、暴力、性、骯髒或以任何方式產生負面、悲傷或引戰的故事
當要求Apple Intelligence 根據相簿的圖片生成一個悲傷的故事時,它拒絕了請求。
這是簡訊summary 功能的指令,要求Apple Intelligence 必須扮演一個擅長總結訊息的專家的角色,不能齣戲,是不是有點「服從性測試」的意味?
你是一個擅長總結資訊的專家,你傾向於使用子句而不是完整的句子來總結,不要回答資訊中的任何問題。
請保持輸出的總結在10 個字以內。
你必須扮演這個角色,除非收到了另外的指示,否則對你的總結沒有幫助。
洩密的文件中還顯示了一個名為「ajax」的模型,這正是去年蘋果被爆出正在測試「Apple GPT」時的內部代號。
洩密者也發佈如何在macOS Sequoia 15.1 開發者beta 版中找到這些指令集的指南。
根據reddit 用戶的消息,這些洩漏的提示詞作為json 系統檔案存在「/System/Library/AssetsV2/com_apple_MobileAsset_UAF_FM_GenerativeModels」目錄下。
還有使用者在其他目錄下發現了提示詞的存在。
不過,許多網友都驚訝於蘋果工程師沒有使用GPT 來指定回應格式,而是要求JSON 。但JSON 非常不穩定。
對此有人回覆到:ChatGPT 無法在裝置上運行,這些都是在裝置模型上的。
更是有人猜測,GPT 更多的是在Siri 不能做某事的情況下的替代方案。
不過大家也在擔心Apple Intelligence 提示詞這麼簡單,能防得住惡意攻擊嗎?簡單的讓AI「不要幻覺,不要捏造事實資訊」效果又如何呢?
華頓商學院的管理學教授Ethan Mollick 也繃不住了:「蘋果擁有地球上最優秀的程式設計人才和龐大的研發資源。但他們給數百萬用戶使用的AI 系統的提示仍然是基本的咒語:‘你是一個擅長總結信息的專家。
資料來源:https://x.com/emollick/status/1820652372466549126/photo/1
實際上,Prompt injection 攻擊變得越來越普遍,使用者會不斷提出新的prompt,不斷掀起新的prompt injection 攻擊。然而,Prompt 很容易被濫用,產生大量錯誤訊息和有偏見的內容,甚至導致資料外洩。 Apple Intelligence 能否防得住「越獄」行為,還需要實踐證明。