
282 款 iOS AI Apps 在网络流量研究中泄露 API keys 和 Open AI proxy 访问
研究人员测试了 444 款 iPhone AI chatbot apps,发现其中 282 款会在 network traffic 中暴露付费 AI access。泄露形式包括 plaintext API key、replayable token,或无需 key 的 backend server。
研究人员测试了 444 款 iPhone AI chatbot apps,发现其中 282 款,接近三分之二,会通过它们的 network traffic 暴露付费 AI access。
在很多情况下,只要观察 app 发出的内容,就能看出入口:plaintext API key、可重复使用的 token,或者一个不需要任何 key 就接受请求的 backend server。
谁拿到它,就可以用 developer 的 account 发送 model requests,而 developer 来付账。研究人员在提醒 developers 三个月后,只有 28% 已经修复。
这项工作来自 Wake Forest University 的 researchers,是首个针对 iOS 上这个问题的深入研究。它之所以引人注目,部分原因在于 snooping 所需 effort 非常少。团队使用了他们自己做的工具 LLMKeyLens,它会盯住 app 的 traffic,并在 credentials 经过时把它们抓出来。不需要 jailbreaking,也不需要把 app crack 开。
key 是让 app 调用 OpenAI 或 Google Gemini 之类服务的 secret。把它嵌进 app 里,就会随着 app 发出的每个 request 一起暴露出来。
这 282 款都落入以下三类之一:
Plaintext keys(54 apps):key 是明文发送的,只要抓到一条 request 就能读到。
No key needed(92 apps):app 通过一个会回应任何人的 server 来转发 requests,对谁在请求没有检查。等于是通往一个付费 AI account 的 open relay。
Replayable tokens(136 apps,最常见):app 发放 temporary access tokens,而不是原始 key,这种做法本来应该更安全,但这些 tokens 会在同样的 traffic 中泄露,而且在被捕获时通常仍然有效。有些甚至根本不是 temporary,下面的案例就说明了这一点。
在 54 款使用 plaintext key 的 apps 中,有 28 款的同一条 request 还暴露了 app 的 hidden system prompt,也就是定义 assistant 做什么、以及产品如何运作的幕后 instructions。一份 capture,两份收获。
这些 leaks 至少横跨 10 个 AI providers,其中 OpenAI 最常见,并覆盖 13 个 app categories。Productivity apps 是最大一类;health and fitness apps 的 leak rate 最高。Finance 和 medical apps 则没有泄露任何内容。受影响的大多数 apps 都很小,但并非全部:其中一款的 user ratings 超过两百万。
这不是理论上的钱。被盗的 AI keys 会滋生业界所谓的 LLMjacking,也就是攻击者拿别人的 keys 跑 model access,白嫖算力。Sysdig 估算过一种最坏情况,偷来的 credentials 一天就可能产生超过 $46,000 的 AI charges。
研究人员通知了全部 282 位 developers,并等待三个月。只有 28% 明显修复了问题。
另外 23% 仍然完全敞开;泄露的 access 还在工作。其余的已经下线、无法访问,或者返回 errors。token apps 往往最糟:一款很受欢迎、拥有超过 100,000 条 ratings 的 app,把它的 access token 设成在 2125 年才过期,相当于一张百年通行证。
另一款 app 的一小时 token 在过期 128 天后仍然有效。
修复方法还是老话,但很少有人照做:不要把 key 放进 app。把 AI calls 通过你自己的 server 转发,让那个 server 检查是谁在调用,并撤销任何已经泄露的 key。
研究人员也希望 AI providers 在 documentation 里把 client-side keys 标成 unsafe,并在某个 key 突然被成千上万台 devices 使用时发出警示;他们也希望 Apple 在 App Store review 期间对这类情况进行筛查。
这个模式并不陌生。2025 年的一项研究 LM-Scout 在 Android apps 中发现了同样不安全的 AI wiring,并自动攻破了其中 120 款。更大规模的审计 Leaky Apps 从成千上万款 Android 和 iOS apps 中提取了 secrets,并发现 developers 即使在移除 keys 之后,也经常忘记 revoke 它们,导致旧 keys 继续生效。
其他人也曾审查更广泛的 LLM app 生态是否存在类似漏洞。AI 热潮并没有改变这个习惯,只是把账单抬高了,因为现在一把泄露的 key 还会按 token 计费。
不过有一点需要注意:三分之二这个数字只是下限。许多 apps 完全阻止了 interception,而这项研究只覆盖了 2025 年底美国的 App Store,所以真实比例很可能更高。