Aplicativos iOS alimentados por inteligência artificial estão vazando credenciais de API de modelos de linguagem (LLM) através do tráfego de rede, expondo desenvolvedores a abuso em larga escala de suas contas de LLM e recursos em nuvem. Um estudo empírico recente de 444 aplicativos iOS gratuitos habilitados para LLM da App Store dos EUA descobriu que 282 deles, ou 64%, vazaram credenciais de LLM exploráveis quando seu tráfego foi interceptado durante o uso normal.
Descoberta e escopo
Para mapear sistematicamente essa ameaça, os pesquisadores construíram uma estrutura de análise dinâmica chamada LLMKeyLens que observa aplicativos iOS em tempo de execução em vez de depender de análise estática de binários. Os testadores instalaram cada aplicativo em dispositivos físicos, rotearam o tráfego através de um proxy man-in-the-middle (MITM) e usaram um certificado raiz personalizado para decifrar fluxos HTTPS, acionando depois os recursos de IA do aplicativo com prompts controlados.
Vetor e exploração
Os pesquisadores identificaram credenciais expostas correspondendo a padrões específicos do provedor no tráfego de rede e validando-as com segurança com solicitações benignas para confirmar o acesso ativo aos serviços de LLM. O estudo da Universidade de Wake Forest identificou três padrões principais de vazamento de credenciais, todos claramente observáveis nas capturas de tráfego de rede.
Evidências e limites
O primeiro e mais direto envolve chaves de API em texto claro: 54 aplicativos enviaram chaves de provedor de LLM estáticas diretamente em cabeçalhos HTTP ou strings de consulta para endpoints como api.openai.com ou generativelanguage.googleapis.com. Em muitos desses casos, a mesma solicitação também carregava prompts de sistema sensíveis, significando que uma única interceptação poderia revelar tanto uma chave reutilizável quanto a lógica de negócios proprietária que impulsiona o comportamento de IA do aplicativo.
Impacto e alcance
O segundo padrão descobriu 92 aplicativos que usam proxies de backend mas falham em exigir qualquer autenticação nesses endpoints, efetivamente criando relés de LLM não autenticados que qualquer um pode chamar assim que conhece a URL e o esquema JSON básico. O terceiro e mais comum padrão envolve Tokens Web JSON (JWTs): 136 aplicativos vazaram tokens bearer usados para autenticar contra backends intermediários, e muitos desses tokens permaneceram suficientemente válidos para serem reutilizados para acesso de inferência continuado.
Medidas de mitigação recomendadas
Os pesquisadores encontraram falhas críticas no gerenciamento de tokens JWT, incluindo datas de expiração ausentes, tokens válidos por até 100 anos e servidores aceitando tokens já expirados. Mesmo onde desenvolvedores tentaram seguir padrões de "token de curta duração", a aplicação fraca efetivamente os rebaixou de volta a segredos estáticos. Do lado defensivo, apenas 143 de 444 aplicativos implementaram qualquer forma de resistência à interceptação.
O que os CISOs devem fazer imediatamente
Equipes de segurança devem auditar aplicativos móveis que utilizam integrações de IA e verificar se as credenciais estão sendo transmitidas de forma segura. A implementação de criptografia de payload personalizada e verificações anti-depuração robustas é rara, mas significativamente mais difícil de contornar. A revisão de políticas de segurança de aplicativos e a exigência de autenticação de backend são passos críticos para mitigar esse risco.