網路安全研究人員測試444款適用於iPhone的AI 聊天機器人應用,發現其中282款(近三分之二)透過網路流量揭露付費AI應用存取權。在許多情況下,只需查看應用程式發送的內容即可發現漏洞:例如明文API金鑰、可重複使用token,或接受不含金鑰請求的後端伺服器。任何獲取這些資訊的人都可以使用開發者的帳戶發送模型請求,而開發者則需承擔費用。研究人員發出警告三個月後,只有28%的開發者修復這個問題。這項由Wake Forest大學研究人員完成的研究,是首個針對iOS系統上此問題的深入研究。其引人注目之處在於,這種窺探方式極為簡單。研究團隊使用自行開發的工具LLMKeyLens,可監控應用流量並提取其中的憑證。無需越獄,也無需破解應用程式。金鑰是應用程式呼叫OpenAI或Google Gemini 等服務的秘密。將其嵌入到應用程式中,它會隨著應用程式發出的每個請求而暴露出來。(如圖1所示)

圖1: LLMKeyLens監控應用流量並提取其中憑證示意圖
282個洩漏的密鑰可分為以下三類:
在54個使用明文金鑰的應用程式中,有28個應用程式相同請求也揭露應用程式的隱藏系統提示,即定義助理功能和產品運作原理的後台命令,一次捕獲,雙重收穫。外洩事件涉及至少十家AI供應商,其中OpenAI最為常見,並涵蓋13個應用程式類別。效率類應用是受影響最大的類別;健康和健身類應用的資料外洩率最高。值得注意的是,金融和醫療類應用則沒有發生任何資料外洩。受影響的應用程式大多規模較小,但並非全部:其中一款應用程式的用戶評分超過兩百萬。(如圖2所示)

圖2: 洩漏的密鑰示意圖
被竊取的AI密鑰助長一種稱為LLMjacking(LLM劫持)行為,駭客利用他人密鑰來免費存取模型。Sysdig計算出被盜憑證每天可能導致超過4.6萬美元AI費用。研究人員通知所有282位開發者,並等待三個月,只有28%的開發者明確修復問題。另有23%的開發者仍處於完全開放狀態;洩漏的存取權限仍然有效。token應用程式情況通常最糟糕:一款擁有超過10萬個評分的熱門應用程式將其存取權杖的有效期設定為2125年,也就是一百年後。另一款應用程式的一小時token在過期128天後仍然有效。
解決方案是不要把金鑰放在應用程式裡,將AI呼叫路由到自己伺服器,讓伺服器檢查呼叫者身份,並撤銷任何已經洩漏的金鑰。研究人員還希望AI提供者在其檔案中將客戶端金鑰標記為不安全,並標記那些突然被成千上萬台裝置使用的金鑰,也希望Apple在App Store審核過程中對此進行篩選。
2025年一項研究LM-Scout發現Android應用程式中存在同樣的AI安全漏洞,並自動破解其中120個應用程式。一項規模更大的稽核研究Leaky Apps從數千個Android和iOS應用中提取密鑰,發現開發者即使在刪除密鑰後也忘記撤銷,導致舊密鑰仍然有效。
本文參考自:https://thehackernews.com/2026/06/282-ios-apps-found-leaking-llm-api-keys.html