2 февраля, 2026
Cybernews: исследование показало серьезные проблемы с безопасностью Android-приложений, использующих ИИ

Cybernews

Исследователи Cybernews проанализировали около 1,8 млн. приложений для Android из Google Play, сосредоточившись исключительно на тех, которые так или иначе используют искусственный интеллект. Было обнаружено, что порядка 72% проанализированных приложений с использованием ИИ содержали как минимум один «жестко закодированный секрет», встроенный непосредственно в код приложения — от идентификаторов облачных проектов до API-ключей. В среднем, приложение допускает утечку 5,1 единиц конфиденциальных данных.

Более 81% всех обнаруженных «секретов» были связаны с инфраструктурой Google Cloud, включая идентификаторы проектов, ключи API, базы данных Firebase и хранилища данных. Другими словами, приложения часто содержат ключи непосредственно в коде, которые должны оставаться исключительно на стороне сервера.

В ходе исследования также было выявлено 285 баз данных Firebase, в которых полностью отсутствовали средства аутентификации, что в совокупности привело к утечке как минимум 1,1 Gb пользовательских данных. В совокупности же в результате утечек в Firebase и Google Cloud Storage были раскрыты более 200 млн. файлов, что составляет почти 730 Tb пользовательских данных.

Среди найденных ключей были доступы к сервисам аналитики, коммуникационным платформам и даже платежной инфраструктуре. В отдельных случаях речь шла о боевых ключах Stripe, которые теоретически позволяют управлять платежами — списывать деньги, оформлять возвраты или перенаправлять средства. С API крупных LLM-провайдеров ситуация выглядит лучше. Ключи OpenAI, Gemini или Claude встречались редко и в основном относились к низкому уровню риска. Даже если такой ключ утечет, он, как правило, не дает доступа к истории запросов или диалогам пользователей.

Проблема усугубляется тем, что такие секреты не просто могут быть использованы злоумышленниками, а уже используются. Исследователи Cybernews заявляют, что сотни приложений из всех проанализированных уже были взломаны с помощью автоматизированных эксплойтов. Разработчикам настоятельно рекомендуют избегать жесткой вставки секретов в приложения и использовать защищенные механизмы управления ключами и аутентификацией.

