Im Kern untersucht die Studie ein bekanntes, aber im iOS-Umfeld bislang nicht systematisch vermessenes Problem: Apps betten geheime Schlüssel direkt ein, mit denen sie Dienste wie OpenAI oder Google Gemini ansprechen. Wird ein solcher Schlüssel in die App integriert, ist er nach Darstellung der Forscher mit jeder Anfrage sichtbar, die die Anwendung verschickt.
Die 282 betroffenen Apps ließen sich laut Studie drei Gruppen zuordnen. Besonders heikel waren 54 Apps, die API-Schlüssel im Klartext preisgaben. Bei 28 davon enthielt dieselbe Anfrage zusätzlich den verborgenen System-Prompt der App, also die internen Anweisungen, die Verhalten und Funktionsweise des Assistenten festlegen.
Insgesamt reichen die Lecks laut Untersuchung über mindestens zehn KI-Anbieter hinweg, wobei OpenAI am häufigsten vertreten war. Betroffen waren 13 App-Kategorien. Produktivitäts-Apps stellten die größte Gruppe, während Gesundheits- und Fitness-Apps die höchste Leak-Rate aufwiesen. Finanz- und Medizin-Apps gaben in der Untersuchung dagegen keine Zugänge preis. Die meisten betroffenen Apps waren klein, doch nicht ausschließlich: Eine davon hatte laut Studie mehr als zwei Millionen Nutzerbewertungen.
Die Forscher ordnen das Problem ausdrücklich nicht als theoretisch ein. Gestohlene KI-Schlüssel speisten eine Praxis, die in der Branche als LLMjacking bezeichnet werde: Angreifer nutzen die Schlüssel anderer für kostenlosen Zugriff auf Modelle. Sysdig berechnete dazu ein Worst-Case-Szenario, in dem gestohlene Zugangsdaten KI-Kosten von mehr als 46.000 US-Dollar pro Tag verursachen könnten.
Nach der Benachrichtigung aller 282 Entwickler warteten die Forscher drei Monate. Danach hatten 28 Prozent das Problem klar behoben. Weitere 23 Prozent waren den Angaben zufolge weiterhin vollständig angreifbar; der offengelegte Zugang funktionierte noch. Bei den übrigen Apps waren die Dienste offline, nicht erreichbar oder lieferten Fehler zurück.
Besonders problematisch waren laut Studie Apps mit Token-basiertem Zugriff. Eine populäre App mit mehr als 100.000 Bewertungen setzte ihr Zugriffstoken so, dass es erst im Jahr 2125 abläuft. Bei einer anderen App funktionierte ein eigentlich nur für eine Stunde gültiges Token noch 128 Tage nach seinem Ablaufdatum.
Die empfohlene Gegenmaßnahme ist nach Einschätzung der Forscher altbekannt, wurde aber oft nicht umgesetzt: Der Schlüssel gehört nicht in die App. Stattdessen sollten KI-Anfragen über einen eigenen Server des Entwicklers laufen, der prüft, wer anfragt. Bereits offengelegte Schlüssel sollten widerrufen werden.
Darüber hinaus fordern die Wissenschaftler, dass KI-Anbieter clientseitige Schlüssel in ihrer Dokumentation ausdrücklich als unsicher kennzeichnen und Schlüssel markieren, die plötzlich von Tausenden Geräten genutzt werden. Auch Apple solle bei der Prüfung im App Store auf dieses Problem achten.
Die Autoren verweisen zudem auf ähnliche Ergebnisse aus anderen Untersuchungen. Die Studie LM-Scout aus dem Jahr 2025 fand dieselbe unsichere Anbindung von KI-Diensten in Android-Apps und drang automatisiert in 120 davon ein. Die größere Analyse Leaky Apps zog Geheimnisse aus Tausenden Android- und iOS-Apps und zeigte, dass Entwickler Schlüssel häufig selbst dann nicht widerrufen, wenn sie diese bereits aus der App entfernt haben.
Die Quote von fast zwei Dritteln sei nach Einschätzung der Forscher eher eine Untergrenze. Viele Apps hätten die Überwachung des Datenverkehrs vollständig verhindert. Außerdem decke die Studie nur den US-App-Store Ende 2025 ab, weshalb die tatsächliche Rate höher liegen dürfte.