Uma pesquisa realizada por acadêmicos da Wake Forest University analisou 444 aplicativos de chatbots de inteligência artificial para iPhone e descobriu que 282 deles, quase dois terços, expuseram acesso pago à IA através do tráfego de rede. As falhas incluíam chaves de API em texto claro, tokens reutilizáveis e servidores de backend que aceitavam solicitações sem qualquer chave de autenticação. Isso permite que qualquer pessoa que capture essas informações faça requisições em nome do desenvolvedor, gerando custos para este. Após três meses de notificação aos desenvolvedores, apenas 28% corrigiram as vulnerabilidades. As falhas foram observadas em pelo menos dez provedores de IA, com a OpenAI sendo a mais comum. O estudo destaca a gravidade do problema, já que as chaves expostas podem resultar em custos significativos, com estimativas de até $46.000 por dia em cobranças de IA. O estudo também sugere que os provedores de IA rotulem as chaves do lado do cliente como inseguras e que a Apple implemente verificações durante a revisão de aplicativos na App Store.
Fonte: https://thehackernews.com/2026/06/282-ios-apps-found-leaking-llm-api-keys.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
30/06/2026 • Risco: ALTO
VAZAMENTO
Estudo revela falhas de segurança em aplicativos de chatbots AI no iPhone
RESUMO EXECUTIVO
O estudo revela que a segurança de aplicativos de chatbots AI está comprometida, com falhas que podem resultar em custos financeiros significativos. A exposição de chaves de API e tokens representa um risco real para a conformidade e segurança de dados, exigindo atenção imediata dos CISOs.
💼 IMPACTO DE NEGÓCIO
Financeiro
Potenciais perdas de até $46.000 por dia devido ao uso indevido de chaves de API.
Operacional
Custos financeiros significativos devido ao uso indevido de chaves de API.
Setores vulneráveis
['Tecnologia', 'Saúde', 'Finanças']
📊 INDICADORES CHAVE
282 aplicativos expuseram acesso pago à IA.
Indicador
54 aplicativos enviaram chaves em texto claro.
Contexto BR
Apenas 28% dos desenvolvedores corrigiram as falhas após notificação.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se os aplicativos utilizados possuem chaves de API expostas.
2
Implementar autenticação robusta e não incluir chaves diretamente nos aplicativos.
3
Monitorar o uso de chaves de API e tokens para detectar acessos não autorizados.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de aplicativos que utilizam IA, pois falhas podem resultar em custos elevados e comprometer a integridade dos dados.
⚖️ COMPLIANCE
Implicações para a LGPD, especialmente em relação à segurança de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
