Onderzoekers testten 444 AI-chatbot-apps voor iPhone en ontdekten dat 282 daarvan, bijna tweederde, betaalde AI-toegang via hun netwerkverkeer aanboden.
In veel gevallen was het pad zichtbaar door simpelweg te kijken naar wat de app stuurde: een API-sleutel in platte tekst, een herbruikbaar token of een backend-server die verzoeken accepteerde zonder enige sleutel.
Degene die het bemachtigt, kan modelaanvragen sturen naar het account van de ontwikkelaar, en de ontwikkelaar betaalt de rekening. Drie maanden nadat de onderzoekers de ontwikkelaars hadden gewaarschuwd, had slechts 28% het probleem opgelost.
Het werk, van onderzoekers van Wake Forest University, is de eerste diepgaande studie van het probleem op iOS. Het valt deels op door de geringe moeite die het rondsnuffelen kostte. Het team gebruikte een tool die ze hadden gebouwd, LLMKeyLensdat het verkeer van een app in de gaten houdt en de inloggegevens ophaalt terwijl ze voorbijkomen. Geen jailbreaken, geen openbreken van de app.
De sleutel is het geheim waarmee de app een dienst als OpenAI of Google Gemini kan aanroepen. Sluit het in de app in en het wordt weergegeven bij elk verzoek dat de app doet.
Alle 282 vielen in een van de drie groepen:
- Teksttoetsen (54 apps): de sleutel wordt openlijk verzonden en kan worden gelezen via een enkel vastgelegd verzoek.
- Geen sleutel nodig (92 apps): de app routeert verzoeken via een server die iedereen antwoordt, zonder te controleren wie erom vraagt. Een open relay naar een betaald AI-account.
- Herspeelbare tokens (136 apps, de meest voorkomende): de app deelt tijdelijke toegangstokens uit in plaats van de onbewerkte sleutel, de aanpak die veiliger zou moeten zijn, maar de tokens lekken in hetzelfde verkeer en waren meestal nog steeds geldig toen ze werden vastgelegd. Sommige waren helemaal niet tijdelijk, zoals uit de onderstaande gevallen blijkt.
Voor 28 van de 54 apps met leesbare tekstsleutels onthulde hetzelfde verzoek ook de verborgen systeemprompt van de app, de instructies achter de schermen die bepalen wat de assistent doet en hoe het product werkt. Eén vangst, twee prijzen.
De lekken omvatten ten minste tien AI-providers, waarvan OpenAI de meest voorkomende, en reiken over dertien app-categorieën. Productiviteitsapps vormden de grootste groep; gezondheids- en fitness-apps hadden het hoogste lekpercentage. Met name financiële en medische apps lekten niets. De meeste getroffen apps waren klein, maar niet allemaal: één had meer dan twee miljoen gebruikersbeoordelingen.

Dit is geen theoretisch geld. Gestolen AI-sleutels voeden een praktijk die de industrie LLMjacking noemt, waarbij aanvallers de sleutels van anderen gebruiken om gratis modeltoegang te krijgen. Sysdig berekende een worstcasescenario waarin gestolen inloggegevens meer dan 46.000 dollar per dag aan AI-kosten zouden kunnen opleveren.
De onderzoekers brachten alle 282 ontwikkelaars op de hoogte en wachtten drie maanden. Slechts 28% had het probleem duidelijk opgelost.
Nog eens 23% stond nog steeds wijd open; de gelekte toegang werkte. De rest was offline gegaan, onbereikbaar geworden of had fouten geretourneerd. De token-apps waren vaak het slechtst: één populaire app, met meer dan 100.000 beoordelingen, stelde zijn toegangstoken in op vervaldatum in het jaar 2125, een termijn van honderd jaar.
Het token van één uur van een andere app werkte 128 dagen nadat het was verlopen nog steeds.
De oplossing is een oud advies dat weinigen volgden: plaats de sleutel niet in de app. Leid AI-oproepen via uw eigen server, laat die server controleren wie er belt en trek eventuele sleutels in die al zijn gelekt.
De onderzoekers willen ook dat AI-providers sleutels aan de clientzijde in hun documentatie als onveilig bestempelen en sleutels markeren die plotseling door duizenden apparaten worden gebruikt, en ze willen dat Apple hierop screent tijdens de beoordeling van de App Store.
Het patroon is bekend. Een onderzoek uit 2025, LM-Scout, ontdekte dezelfde onveilige AI-bedrading in Android-apps en brak automatisch in 120 daarvan. Een grotere audit, Leaky Apps, haalde geheimen uit duizenden Android- en iOS-apps en ontdekte dat ontwikkelaars er routinematig niet in slagen sleutels in te trekken, zelfs nadat ze deze hadden verwijderd, waardoor de oude in leven bleven.
Anderen hebben het bredere LLM-app-ecosysteem onderzocht op soortgelijke gaten. De AI-rush heeft de gewoonte niet veranderd. Het heeft de rekening verhoogd, omdat een gelekte sleutel nu met het token wordt belast.
Eén waarschuwing: het tweederde cijfer is een vloer. Veel apps blokkeerden de onderschepping volledig, en het onderzoek bestrijkt eind 2025 alleen de Amerikaanse App Store, dus het werkelijke percentage ligt waarschijnlijk hoger.