Actualitat

Un estudi sobre 282 aplicacions d’IA d’iOS mostra que filtren claus API i accés a proxy d’IA oberta al trànsit de xarxa

NOTÍCIES

14/07/2026

Uns investigadors van provar 444 aplicacions de xatbot d’IA per a iPhone i van descobrir que 282 d’elles, gairebé dos terços, exposaven accés de pagament a la IA a través del trànsit de la seva xarxa.

En molts casos, la ruta d’entrada era visible només observant el que enviava l’aplicació: una clau API de text sense format, un token reutilitzable o un servidor back-end que acceptava sol·licituds sense cap clau.

Qui ho aconsegueixi pot enviar sol·licituds de models al compte del desenvolupador, i el desenvolupador paga la factura. Tres mesos després que els investigadors avisessin els desenvolupadors, només el 28 % ho havia solucionat.

El treball, d’investigadors de la Universitat de Wake Forest, és el primer estudi en profunditat del problema a iOS. És sorprenent en part pel poc esforç que va suposar l’espionatge. L’equip va utilitzar una eina que van crear, LLMKeyLens, que observa el trànsit d’una aplicació i extreu les credencials a mesura que passen. Sense evasió de restriccions (jailbreak) ni desxiframent de l’aplicació.

La clau és el secret que permet que l’aplicació cridi un servei com OpenAI o Google Gemini. Si s’insereix a l’aplicació, s’exposarà amb cada sol·licitud que fa l’aplicació.

Tots 282 van quedar en un d’aquests tres grups:

  • Claus de text sense format (54 aplicacions): la clau s’envia de manera oberta, llegible des d’una única sol·licitud capturada.
  • No cal cap clau (92 aplicacions): l’aplicació envia les sol·licituds a través d’un servidor que respon a tothom, sense comprovar qui ho fa. Un relé obert a un compte d’IA de pagament.
  • Tokens executables més d’una vegada (136 aplicacions, els més comuns): l’aplicació lliura tokens d’accés temporals en lloc de la clau en brut, l’enfocament que se suposa que és més segur, però els tokens es filtren en el mateix trànsit i normalment encara eren vàlids quan es capturaven. Alguns no eren gens temporals, com mostren els casos següents.

Per a 28 de les 54 aplicacions amb clau de text sense format, la mateixa sol·licitud també va exposar l’indicador ocult del sistema de l’aplicació, les instruccions entre bastidors que defineixen què fa l’assistent i com funciona el producte. Una captura, dos premis.

Les filtracions abasten almenys deu proveïdors d’IA, amb OpenAI com a més comú, i arriben a 13 categories d’aplicacions. Les aplicacions de productivitat van ser el grup més nombrós; les aplicacions de salut i fitness van tenir la taxa de filtracions més alta. Les aplicacions de finances i medicina, en particular, no van filtrar res. La majoria de les aplicacions afectades eren petites, però no totes: una tenia més de dos milions de valoracions d’usuaris.

Això no són diners teòrics. Les claus d’IA robades alimenten una pràctica que la indústria anomena LLMjacking, on els atacants executen les claus d’altres persones per obtenir accés gratuït al model. Sysdig ha alculat el pitjor escenari possible en què les credencials robades podrien suposar més de 46.000 dòlars al dia en càrrecs d’IA.

Els investigadors van notificar els 282 desenvolupadors i van esperar tres mesos. Només el 28 % ho havien resolt clarament.

Un altre 23 % encara estava obert; l’accés filtrat funcionava. La resta s’havia desconnectat, havia esdevingut inaccessible o havia retornat errors. Les aplicacions de token sovint eren les pitjors: una aplicació popular, amb més de 100.000 valoracions, va establir que el seu token d’accés caduqués l’any 2125, un pas de cent anys.

El token d’una hora d’una altra aplicació encara funcionava 128 dies després d’haver caducat.

La solució és un consell antic que pocs van seguir: no poseu la clau a l’aplicació. Envieu les trucades d’IA a través del vostre servidor, feu que aquest servidor comprovi qui truca i revoqueu qualsevol clau que ja s’hagi filtrat.

Els investigadors també volen que els proveïdors d’IA etiquetin les claus del costat del client com a no segures a la seva documentació i que marquin les claus que de sobte siguin utilitzades per milers de dispositius, i volen que Apple ho detecti durant la revisió de l’App Store.

El patró és familiar. Un estudi del 2025, LM-Scout, va trobar el mateix cablejat d’IA insegur a les aplicacions d’Android i va accedir automàticament a 120 d’elles. Una auditoria més gran, Leaky Apps, va extreure secrets de milers d’aplicacions d’Android i iOS i va descobrir que els desenvolupadors no revoquen les claus de manera rutinària, fins i tot després d’eliminar-les, hi deixen les antigues actives.

Altres han investigat l’ecosistema més ampli d’aplicacions LLM per forats similars. La febre de la IA no ha canviat l’hàbit. Ha augmentat la factura, perquè una clau filtrada ara es carrega amb el token.

Una advertència: la xifra de dos terços és un mínim. Moltes aplicacions van bloquejar la intercepció completament, i l’estudi només cobreix l’App Store dels EUA a finals del 2025, per la qual cosa la taxa real és probablement més alta.

Llegiu la notícia original al seu lloc web oficial fent clic en aquest mateix enllaç