三分之二的 iOS 人工智能应用在网络流量中泄露 LLM 凭据
维克森林大学对 444 款 iOS 人工智能应用的研究发现,其中 282 款暴露了可用的 LLM 凭据——明文密钥、开放代理后端、可重放令牌——均可从普通网络流量中读取。通报三个月后,仅有 28% 完成修复。
这是什么?
2026 年 6 月 10 日(6 月 23 日修订),维克森林大学的研究人员发表了 Mind your key,这是首份针对 iOS 应用中 LLM API 凭据泄露的深入实证研究(arXiv:2606.12212)。他们从美国 App Store 的 1092 个候选应用中筛选出 444 款人工智能聊天应用,并用自研工具 LLMKeyLens 检查每款应用的网络流量。结果是:444 款应用中有 282 款——接近三分之二——暴露了可用的 LLM 凭据,任何人都能借此用开发者的账户发送模型请求,而账单由开发者承担。
令人不安的是提取凭据几乎不费力气。LLMKeyLens 既不需要源代码,也不需要解密二进制文件;它只是观察应用本已发出的流量,并在传输途中把密钥提取出来。这些凭据涉及至少十家提供商,其中 OpenAI 最为常见,横跨十三个应用类别。
工作原理
当一款移动应用内嵌提供商密钥、以便直接调用 OpenAI 或 Gemini 等服务时,该密钥会随应用发出的每个请求一同传输。任何能观察流量的人——应用用户本人、同一网络中的他人,或某个代理——都能读到它。研究将 282 款泄露应用归纳为三种模式。
最常见的是可重放令牌泄露,占 48%(136 款)。这些应用采取了理论上更安全的做法,分发短期令牌而非原始密钥,但令牌在同一流量中泄露,且被捕获时通常仍然有效。有些令牌根本不”短期”:一款热门应用把令牌的过期时间设为 2125 年——相当于一张百年通行证;另一款应用”一小时”的令牌在名义失效 128 天后仍能使用。
第二种模式占 33%(92 款),是未认证的后端代理:应用将请求经由一台对任何人都应答、不核验请求者身份的服务器转发。这就是通往付费人工智能账户的开放中继,而且没有密钥可偷,因为根本不需要密钥。
第三种占 19%(54 款),是明文密钥传输——原始的提供商密钥被公开发送,单次捕获的请求即可读取。在这 54 款应用中,有 28 款的同一请求还暴露了隐藏的系统提示词,在泄露计费凭据的同时也泄露了产品的幕后指令。
为什么重要
泄露的 LLM 密钥不是抽象风险,而是按令牌计费的风险。被盗密钥助长了业界称为 LLMjacking 的做法,Sysdig 估算,在最坏情况下,单个被盗账户每天可产生超过 46,000 美元的模型费用。除了账单,开放代理或暴露的密钥还为攻击者提供了免费的前沿模型推理,而泄露的系统提示词可能揭示专有逻辑并暗示进一步的滥用路径。
最糟糕的是其持久性。研究人员通知了全部 282 家开发者并等待了三个月;只有 28% 明确修复了问题,23% 仍然大门敞开、泄露的访问依旧可用,其余的则已下线或返回错误。这与此前 Android 上的发现相呼应——2025 年的 LM-Scout 研究利用同一类不安全的接线方式自动攻入了 120 款应用。可见人工智能热潮并未改变这一习惯,只是抬高了它的代价。作者强调,三分之二这一数字只是下限:许多应用直接阻断了拦截,而研究仅覆盖 2025 年底的美国 App Store。
防御措施
根本的修复是一条太多团队忽视的老建议:提供商密钥绝不应存在于客户端。
- 让每次模型调用都经由你自己的后端。 应用与你的服务器通信;你的服务器持有提供商密钥并与 OpenAI、Gemini 等对话。密钥既不打包进二进制文件,也不会通过网络传到设备。
- 在该后端对调用方进行认证。 对任何人都应答的中继就是开放中继。将每个请求绑定到经过认证的用户或设备身份,并拒绝其余请求。
- 签发真正短期且限定范围的令牌。 在服务器端强制真实过期,将令牌绑定到用户与用途,拒绝过期或被重放的令牌,而不是信任客户端提供的时钟。
- 加入支出上限、按用户配额和速率限制。 它们能在凭据泄露时限制损失,并为响应争取时间。
- 监控异常并快速吊销。 一把密钥突然服务于数千台设备就是信号。一有可疑迹象就轮换密钥——并确认旧密钥确实被吊销,因为此前的审计发现开发者常把已移除的密钥仍留作有效。
研究还将部分责任上移:它请求提供商在文档中把客户端密钥标注为不安全,并对从不合常理数量的设备使用的密钥发出警示;同时请求苹果在 App Store 审核中筛查这一模式。
状态
| 项目 | 数值(维克森林大学,2026 年 6 月) |
|---|---|
| 分析的应用 | 444(从 1092 款筛选) |
| 泄露可用凭据的应用 | 282(约 64%) |
| 可重放令牌泄露 | 48%(136 款) |
| 未认证后端代理 | 33%(92 款) |
| 明文密钥传输 | 19%(54 款) |
| 明文应用中同时泄露系统提示词的 | 54 款中的 28 款 |
| 受影响的提供商 | ≥ 10(OpenAI 最常见) |
| 通报三个月后已修复 | 28% |
| 复测时仍可利用 | 23% |
| 检测工具 | LLMKeyLens(流量拦截,无需解密二进制文件) |
关键日期:2026 年 6 月 10 日——研究首次提交。2026 年 6 月 23 日——修订版。2026 年 6 月 30 日——媒体广泛报道。范围说明:美国 App Store,2025 年底;三分之二的比例是下限。
Sources
- → https://arxiv.org/abs/2606.12212
- → https://thehackernews.com/2026/06/282-ios-apps-found-leaking-llm-api-keys.html
- → https://gbhackers.com/282-ios-apps-found-leaking-llm-api-credentials/
- → https://www.sysdig.com/blog/llmjacking-stolen-cloud-credentials-used-in-new-ai-attack
- → https://arxiv.org/abs/2505.08204