Firehound 揭近 200 款 App 洩資,AI 應用成重災區
由資安研究實驗室 CovertLabs 主導的專案 Firehound,近期揭露了一項令人震驚的事實,那就是 App Store 上至少有近 200 款應用程式 正在洩漏使用者資料,其中多數與 AI 聊天或生成式應用相關。
據資安社群觀察帳號 @vxunderground 在 X 上的分享,Firehound 正持續掃描並建立資料庫,記錄會外洩使用者資訊的應用,範圍包含姓名、電子郵件甚至聊天內容。研究者形容這是一次「AI slop(AI 廢料)的大爆發」,可說是行動平台的資安災難現場。
Firehound 目前列出 198 款 iOS App,其中 196 款可洩露用戶資料。在曝光名單中,App「Chat & Ask AI」的風險最高,一款程式就意外開放了超過 4.06 億筆紀錄、涉及 1,800 萬名用戶資料,登上 Firehound 外洩最多資料的排行榜首位。
Firehound 指出,多數 App 的問題來自雲端資料庫或後端儲存安全設定錯誤,導致資料可被公開讀取。但不僅 AI 應用中招,其他還包括教育、娛樂、健康、社交等類別的 App。
Firehound 網站目前僅開放部分資料供查詢,若需更完整的掃描結果,需註冊帳號並經人工審核,優先對象為記者、執法單位與資安研究人員。官方表示,部分資料過於敏感,目前仍在審查與修訂中,暫不全面公開。
儘管 Firehound 並未明確將所有程式歸類為「AI Slop」,這起事件仍揭示了一個關鍵問題,在生成式 AI 熱潮下,許多開發者快速上架的應用缺乏基本資安防護,讓使用者個資暴露於高風險環境。
資安專家提醒,使用者在下載 AI 聊天或內容生成 App 前,應謹慎檢查開發者來源與權限要求,避免在不可信的平台上輸入真實資料。開發者則必須負起責任,確保資料安全機制到位,否則下一波 App 資料外洩災情恐怕只會更嚴重。
(首圖來源:AI)