iOS 敏感密钥泄漏怎么防？我踩了三个坑才找到正确姿势

做了一个语音转录 App，上线前做安全自查，发现一件让我背脊发凉的事：

把 ipa 包解压，进入Payload/SpeechNote.app/，打开Config.plist，QCloud 的 SecretId、SecretKey、SiliconFlow 的 API Key、Groq 的 API Key……全在里面，明文，清清楚楚。

任何人只要下载我的 App，花三分钟就能把这些密钥拿走。

这篇文章记录我怎么解决这个问题的——包括走了哪些弯路，最后怎么用一个 20 行的 Cloudflare Worker 把问题收掉。

为什么 Config.plist 存密钥是个定时炸弹

很多 iOS 开发者的第一反应是「放 plist 不是挺方便的吗，我加 .gitignore 了啊」。

问题不在 Git，在包体。

App Store 审核通过之后，用户下载的 ipa 就包含了你所有的本地文件。Config.plist会原封不动打进去。只需要：

# 解压 ipa（本质是 zip）