根據資安研究實驗室 CovertLabs 最新發布的調查報告指出,一個名為「Firehound」的掃描項目已成功索引並追蹤到近 200 款 iOS 應用程式存在嚴重資料外洩行為;其中,一款名為「Chat & Ask AI」的熱門 App 更是災情慘重,外洩紀錄高達 4.06 億筆,受影響用戶超過 1,800 萬。
「AI垃圾」引發資安浩劫:1800萬用戶聊天紀錄裸奔
根據外媒《9to5Mac》報導,資安專家 @Harrris0n 與社群平台 X 上的知名帳號 @vxunderground 近日針對 App Store 內的應用程式發出強烈警告。Firehound 在掃描項目中發現,目前清單上的 198 款應用程式中,有高達 196 款會主動或被動地暴露用戶敏感數據,包括:真實姓名、電子郵件、地理位置,甚至是極為私密的「歷史對話紀錄」。
專家將此現象形容為「Slopocalypse」(垃圾 AI 應用的啟示錄),這些 App 多半透過安全性不足的資料庫或雲端儲存空間運作,導致駭客甚至一般具備基礎搜尋能力的人,都能輕易獲取數據架構。最嚴重的「Chat & Ask AI」被點名存在致命漏洞,該程式將 1,800 萬用戶的 3.8 億條私密訊息完全置於無保護狀態。資安專家直言:「這簡直糟透了,用戶必須立即停用並刪除這些 App。」
多數資料外洩源自雲端與資料庫設定疏失
Firehound資料庫顯示,這些外洩主要來自應用開發者未正確設定雲端儲存平台(如Firebase、AWS等)或後端資料庫,造成資料可被公開存取。有些App甚至還暴露完整資料結構(schema),使得駭客更容易針對性滲透與分析。
受影響應用橫跨多元類別,包括:
- AI聊天與寫作工具
- 教育與學習平台
- 圖像與設計App
- 健康與健身追蹤
- 生活風格與社交媒體App
這波資安災情主要集中在教育、娛樂、圖形設計與健康健身等類別,而其中又以 AI 相關應用佔大宗,其中不少應用來自開發速度快、測試與審核流程薄弱的中小型開發團隊。業界專家分析,這反映 2026 年「氛圍編碼(Vibe Coding)」與「AI 自動開發工具」盛行下的副作用:當開發門檻降至最低,開發者往往忽略最基礎的加密與資料防護機制。
從商業角度看,這不僅是技術疏失,更是企業 ESG(環境、社會與治理)中社會責任的重大缺失;若這些 App 的開發公司未能妥善管理資料,將面臨巨大的商譽損失與法律求償。Firehound 目前已限制公眾存取部分極度敏感的數據,僅優先提供給記者、執法部門與資安專業人員進行審查,以避免二次傷害。
開發門檻低非資安藉口 AI應用更應負起責任
此外,儘管@vxunderground將此行動形容為AI開發「AI Slop」的產物,但Firehound與@Harrris0n尚未明確將此現象歸咎於AI生成應用,而是強調開發者未落實最基本的資安流程與用戶資料保護義務。
此次事件突顯AI應用程式開發的門檻雖低,但風險極高;儘管App Store存在審核機制,但對於第三方儲存與雲端資料管理並不全面,導致此類事件屢見不鮮。專家建議使用者在使用AI應用時應特別謹慎,避免輸入敏感資訊,並選用具品牌信譽與官方資安聲明的應用程式。
