Pesquisadores testaram 444 aplicativos de chatbot com IA para iPhone e descobriram que 282 deles, quase dois terços, expunham acesso pago à IA por meio do tráfego de rede.
Em muitos casos, a brecha ficava evidente apenas ao observar o que o aplicativo enviava: uma chave de API em texto simples, um token reutilizável ou um servidor de back-end que aceitava requisições sem qualquer chave.
Quem obtinha esse acesso podia enviar solicitações ao modelo usando a conta do desenvolvedor, e a conta que pagava a fatura era a do próprio desenvolvedor.
Três meses depois do alerta enviado pelos pesquisadores, apenas 28% haviam corrigido o problema.
O trabalho, conduzido por pesquisadores da Wake Forest University, é o primeiro estudo aprofundado sobre esse problema no iOS.
O resultado chama atenção também pelo pouco esforço necessário para monitorar as comunicações.
A equipe usou uma ferramenta própria, chamada LLMKeyLens, que observa o tráfego do aplicativo e extrai as credenciais à medida que elas aparecem.
Sem jailbreak, sem desmontar o aplicativo.
A chave é o segredo que permite ao app se conectar a serviços como OpenAI ou Google Gemini.
Quando ela é incorporada ao aplicativo, fica exposta em cada requisição enviada.
Os 282 casos se dividiram em três grupos:
Chaves em texto simples: 54 aplicativos.
A chave era enviada abertamente, visível em uma única requisição capturada.
Nenhuma chave necessária: 92 aplicativos.
O app encaminhava as requisições por meio de um servidor que respondia a qualquer um, sem verificar quem estava pedindo.
Uma espécie de relé aberto para uma conta paga de IA.
Tokens reutilizáveis: 136 aplicativos, o grupo mais comum.
O app distribuía tokens temporários em vez da chave bruta, uma abordagem que, em tese, seria mais segura.
Mas esses tokens vazavam no mesmo tráfego e, na maioria dos casos, ainda estavam válidos quando foram capturados.
Alguns nem sequer eram temporários, como mostram os casos abaixo.
Em 28 dos 54 aplicativos com chave em texto simples, a mesma requisição também expunha o prompt de sistema oculto do app, isto é, as instruções internas que definem o que o assistente faz e como o produto funciona.
Uma captura, dois prêmios.
Os vazamentos abrangem ao menos dez fornecedores de IA, com a OpenAI como o caso mais comum, e se espalham por 13 categorias de aplicativos.
Os apps de produtividade formaram o maior grupo; os de saúde e bem-estar tiveram a maior taxa de vazamento.
Aplicativos de finanças e de medicina, de forma notável, não vazaram nada.
A maioria dos apps afetados era pequena, mas não todos: um deles tinha mais de dois milhões de avaliações de usuários.
Não se trata de prejuízo teórico.
Chaves de IA roubadas alimentam uma prática conhecida no setor como LLMjacking, na qual atacantes usam chaves de terceiros para obter acesso gratuito aos modelos.
A Sysdig calculou um cenário de pior caso em que credenciais roubadas poderiam gerar mais de US$ 46.000 por dia em cobranças de IA.
Os pesquisadores notificaram todos os 282 desenvolvedores e esperaram três meses.
Apenas 28% haviam corrigido o problema de forma clara.
Outros 23% continuavam totalmente expostos, com o acesso vazado ainda funcionando.
O restante havia saído do ar, ficado inacessível ou retornado erros.
Os aplicativos com tokens costumavam ser os piores: um app popular, com mais de 100.000 avaliações, configurou seu token de acesso para expirar no ano de 2125, um passe de cem anos.
O token de uma hora de outro aplicativo ainda funcionava 128 dias depois de ter expirado.
A solução é o conselho antigo que poucos seguiram: não coloque a chave no aplicativo.
Direcione as chamadas de IA por meio do seu próprio servidor, faça esse servidor verificar quem está chamando e revogue qualquer chave que já tenha vazado.
Os pesquisadores também querem que os fornecedores de IA indiquem em sua documentação que chaves no lado do cliente são inseguras e sinalizem chaves que, de repente, passam a ser usadas por milhares de dispositivos.
Eles também defendem que a Apple faça essa verificação durante a análise da App Store.
O padrão é conhecido.
Um estudo de 2025, LM-Scout, encontrou a mesma configuração insegura de IA em aplicativos Android e invadiu automaticamente 120 deles.
Uma auditoria maior, Leaky Apps, extraiu segredos de milhares de aplicativos Android e iOS e mostrou que os desenvolvedores frequentemente deixam de revogar chaves mesmo depois de removê-las, mantendo as antigas ativas.
Outros pesquisadores também examinaram o ecossistema mais amplo de apps com LLM em busca de falhas semelhantes.
A corrida pela IA não mudou o hábito.
Mudou a conta, porque uma chave vazada agora é cobrada junto com o token.
Há uma ressalva importante: a taxa de dois terços é um piso.
Muitos aplicativos bloquearam completamente a interceptação, e o estudo cobre apenas a App Store dos Estados Unidos no fim de 2025.
Por isso, a taxa real provavelmente é maior.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...