Вредоносні LLM-роутери крадуть крипту: дослідники виявили 26 небезпечних сервісів

Дослідники Університету Каліфорнії виявили, що частина сторонніх LLM-роутерів активно впроваджує шкідливий код і краде облікові дані з AI-агентних сесій. Серед 428 протестованих роутерів небезпечними виявились 26. Один з них вивів реальний ETH з тестового гаманця дослідників. Препринт вийшов у четвер.

Що таке LLM-роутер і де небезпека

LLM-роутери - це сторонні сервіси, що агрегують доступ до мовних моделей від OpenAI, Anthropic, Google та інших. Розробники підключають їх як проміжний шар, щоб зекономити на API або отримати гнучкість між провайдерами. Проблема в тому, що роутер розриває TLS-з'єднання і читає кожне повідомлення у відкритому вигляді. Будь-які приватні ключі або сід-фрази в сесії стають видними для сервісу.

Цифри з дослідження

Співавтор дослідження Чаофань Шоу написав у X: "26 LLM-роутерів таємно впроваджують шкідливі виклики інструментів і крадуть облікові дані". Дослідники свідомо поклали невеликі суми ETH у тестові гаманці і передали ключі через роутери як приманку.

Режим YOLO: агент виконує все сам

Автори зафіксували ще один ризик. Багато AI-фреймворків мають так званий "YOLO mode" - налаштування, де агент виконує команди автоматично без підтвердження від користувача. Роутер, що раніше поводився чесно, може бути "мовчки озброєний" після оновлення, і оператор нічого не помітить.

Безкоштовні роутери викликають особливе занепокоєння: вони можуть пропонувати дешевий доступ до API як приманку, паралельно збираючи дані. "Межа між обробкою даних і крадіжкою невидима для клієнта, бо роутер і так читає секрети у відкритому вигляді", - йдеться в статті.

Що робити розробникам

• Ніколи не передавати приватні ключі або сід-фрази через сесію AI-агента
• Перевіряти репутацію та відкритий код роутера перед інтеграцією
• Використовувати тільки офіційні API-ендпоїнти від верифікованих провайдерів

Довгострокове рішення від авторів - криптографічний підпис відповідей AI-компаній. Тоді агент зможе математично підтвердити, що команди надійшли від легітимної моделі, а не підроблені роутером-посередником.

Підсумок

Загроза реальна для всіх, хто пише крипто-код з AI-агентами. Якщо агент проходить через сторонній роутер, а в контексті сесії є ключі від крипто-гаманців або API-акаунтів, ризик зливу ненульовий. Дослідники рекомендують ставитись до будь-якого LLM-роутера як до потенційно ненадійного посередника.