تسريب مفاتيح API في تطبيقات الذكاء الاصطناعي على آيفون كشف 282 تطبيقاً يعرّض حسابات المطورين وفواتيرهم لخطر الاستغلال المباشر.
ما قصة تسريب مفاتيح API في تطبيقات آيفون؟
أظهرت دراسة تقنية حديثة شملت 444 تطبيق دردشة وذكاء اصطناعي على آيفون أن 282 تطبيقاً منها كشفت وسائل الوصول إلى خدمات AI المدفوعة عبر حركة الشبكة. هذا يعني أن المهاجم قد يحصل على مفتاح برمجي أو رمز دخول قابل لإعادة الاستخدام، ثم يرسل طلبات على حساب المطور نفسه.
اللافت أن المشكلة لم تحتج إلى كسر حماية الجهاز أو تفكيك التطبيق من الداخل. بل كان يكفي مراقبة البيانات التي يرسلها التطبيق لاستخراج معلومات حساسة تسمح بالوصول إلى خدمات مثل OpenAI وGemini.
- عدد التطبيقات التي خضعت للاختبار: 444 تطبيقاً
- عدد التطبيقات المتأثرة: 282 تطبيقاً
- نسبة التطبيقات المتأثرة: تقارب الثلثين
- مدة انتظار الإصلاح بعد التنبيه: 3 أشهر
كيف حدث تسريب مفاتيح API داخل هذه التطبيقات؟
بحسب ما رصدته تيكبامين، وقعت التطبيقات المصابة في ثلاثة أنماط متكررة: مفتاح API مكتوب بصيغة نصية واضحة، أو رمز وصول طويل الأجل، أو خادم خلفي يقبل الطلبات من دون تحقق فعلي. في الحالات الثلاث، يصبح الباب مفتوحاً أمام إساءة الاستخدام.
أبرز أنماط الثغرات التي ظهرت
- مفاتيح API مكشوفة داخل الطلبات الشبكية
- Tokens قابلة لإعادة الاستخدام لفترات طويلة جداً
- خوادم Proxy تسمح بتمرير طلبات AI بلا تحقق كافٍ
- انكشاف System Prompt في بعض التطبيقات مع نفس الطلب
وفي 28 تطبيقاً من أصل 54 تطبيقاً استخدمت مفاتيح واضحة، ظهر أيضاً الـ system prompt المخفي، أي التعليمات الخلفية التي تحدد سلوك المساعد الذكي. هذا لا يهدد الفاتورة فقط، بل يكشف منطق المنتج وطريقة عمله.
ما حجم الخطر على المطورين والمستخدمين؟
الخطر هنا مالي وتقني في الوقت نفسه. استخدام المفاتيح المسروقة في تشغيل نماذج الذكاء الاصطناعي على حسابات الآخرين أصبح ممارسة معروفة، وقد يؤدي إلى رسوم تشغيل مرتفعة جداً خلال وقت قصير.
الدراسة أشارت أيضاً إلى أن بعض التطبيقات تركت رموز الوصول فعالة بشكل مبالغ فيه. أحد التطبيقات الشائعة، الذي تجاوز 100 ألف تقييم، ضبط رمز الدخول بحيث ينتهي في عام 2125، بينما استمر رمز آخر بالعمل بعد 128 يوماً من انتهاء صلاحيته المفترضة.
- أكثر مزود خدمة تكرر ظهوره: OpenAI
- عدد الفئات المتأثرة: 13 فئة تطبيقات
- أكبر فئة متضررة: تطبيقات الإنتاجية
- أعلى معدل تسريب: تطبيقات الصحة واللياقة
- فئات لم تُسجل تسريبات: التمويل والتطبيقات الطبية
هل أصلحت الشركات المشكلة في تطبيقات آيفون؟
بعد إخطار جميع المطورين المتأثرين والانتظار ثلاثة أشهر، لم يُظهر الإصلاح الواضح سوى 28% فقط من التطبيقات. في المقابل، بقي 23% مكشوفاً بالكامل، بينما أصبحت بقية التطبيقات غير متاحة أو أعادت أخطاء تمنع التحقق من حالتها.
هذه الأرقام تعكس بطئاً واضحاً في الاستجابة رغم أن النصيحة الأمنية معروفة منذ سنوات: لا تضع المفتاح داخل التطبيق نفسه. ووفقاً لتغطية تيكبامين، فإن الحل الأكثر أماناً هو تمرير طلبات الذكاء الاصطناعي عبر خادم خاص بالمطور مع تحقق صارم من الهوية وإلغاء أي مفتاح تم تسريبه فوراً.
كيف يمكن الحد من تسريب مفاتيح API مستقبلاً؟
أفضل خطوة حالياً هي فصل التطبيق عن المفتاح الحساس بالكامل، مع استخدام خوادم وسيطة تراقب المعدل والصلاحية وسجل الاستخدام. كذلك يجب تقصير عمر الرموز، وتطبيق تدوير دوري للمفاتيح، ومراجعة السجلات لاكتشاف أي طلبات غير طبيعية.
الخلاصة أن تسريب مفاتيح API لم يعد خطأً بسيطاً في تطبيقات آيفون، بل ثغرة قد تتحول إلى استنزاف مالي وتسريب منطقي للمنتج، وهو ما يضع مطوري تطبيقات AI أمام اختبار أمني لا يحتمل التأجيل.