282 из 444: как iOS-приложения сливают ключи к платным AI-сервисам

Исследователи из Wake Forest University изучили 444 AI-чатбота в американском App Store и обнаружили, что 282 из них — почти две трети — так или иначе раскрывают секретные учётные данные для доступа к платным AI-сервисам. Авторы называют свою работу первым подробным исследованием этой проблемы именно для iOS. Проводилось всё в конце 2025 года, и цифры получились весьма тревожными.
Для анализа команда написала собственный инструмент — LLMKeyLens. Он перехватывает сетевой трафик приложения и в реальном времени вытаскивает оттуда учётные данные. Никакого джейлбрейка, никакого реверс-инжиниринга — только наблюдение за тем, что приложение само отправляет в сеть.
Уязвимые приложения разделились на три группы. Первая — 54 приложения, которые передают API-ключ в открытом виде: один перехваченный запрос, и ключ у вас в руках. Из этих 54-х ещё 28 заодно сливали системный промпт — скрытые инструкции, которые определяют поведение и «личность» AI-ассистента. Один захват трафика, два приза. Вторая группа — 92 приложения, использующие открытые реле: запросы к AI идут через сервер разработчика, но этот сервер не проверяет, кто именно к нему обращается. Фактически любой желающий получает бесплатный доступ к чужому платному аккаунту. Третья и самая многочисленная группа — 136 приложений с перехватываемыми токенами. Токены выглядят безопаснее сырых ключей, потому что теоретически временные, но они утекают в том же трафике и нередко остаются рабочими долго после предполагаемого истечения срока.
Именно с токенами связаны самые показательные случаи. В одном приложении с более чем 100 000 оценок токен был настроен на истечение в 2125 году — то есть фактически это постоянный пропуск на сто лет вперёд. В другом случае токен с часовым сроком действия продолжал полноценно работать спустя 128 дней после формального истечения. Одно из затронутых приложений имело свыше 2 миллионов пользовательских оценок — масштаб проблемы далеко не ограничивается мелкими поделками.
Утечки охватывают как минимум 10 AI-провайдеров и 13 категорий приложений. Чаще всего под удар попадает OpenAI, упоминается и Google Gemini. По категориям: больше всего уязвимых приложений — среди продуктивити-инструментов, наибольший процент утечек — в приложениях для здоровья и фитнеса. Финансовые и медицинские приложения, любопытно, не показали ни одной утечки.
Практика использования чужих ключей получила отдельное отраслевое название — LLMjacking. Компания Sysdig подсчитала, что в худшем случае украденные учётные данные могут генерировать расходы на сумму свыше 46 000 долларов в день. Платит при этом тот разработчик, чей ключ украли.
После завершения анализа исследователи уведомили всех 282 разработчиков и выждали три месяца перед публикацией результатов. Итог: 28% явно устранили проблему, 23% по-прежнему оставались открытыми с рабочим доступом, а оставшиеся примерно 49% ушли в офлайн, стали недоступны или начали возвращать ошибки.
Исследователи сформулировали конкретные рекомендации для каждой из сторон. Разработчикам: пропускать все AI-запросы через собственный сервер, настроить на этом сервере проверку того, кто именно обращается, и немедленно отзывать уже утёкшие ключи. AI-провайдерам: прямо указывать в документации, что хранить ключи на клиентской стороне небезопасно, и настроить обнаружение аномалий — когда один ключ вдруг начинает использоваться с тысяч устройств, это сигнал. Apple отдельно предложили проверять наличие открытых API-ключей прямо в процессе ревью при добавлении приложения в App Store.
Проблема не ограничивается только iOS. В 2025 году исследование LM-Scout провело аналогичный анализ на Android и автоматически получило доступ к 120 приложениям, обнаружив идентичные схемы небезопасной интеграции AI. Более масштабный аудит Leaky Apps, охвативший обе платформы, вытащил секреты из тысяч приложений и зафиксировал характерную закономерность: разработчики часто удаляют приложение, но забывают отозвать ключ, и тот продолжает работать.
Показатель в 282 из 444 приложений исследователи называют нижней границей, а не полной картиной. Многие приложения полностью блокировали перехват трафика — они в подсчёт не вошли. Исследование охватывало только американский App Store в конце 2025 года, поэтому реальный масштаб проблемы, скорее всего, выше.


Новое на сайте

Ссылка