Исследователи Университета Калифорнии обнаружили, что часть сторонних LLM-роутеров активно внедряет вредоносный код и ворует учётные данные из сессий AI-агентов. Среди 428 протестированных роутеров опасными оказались 26. Один из них вывел реальный ETH с тестового кошелька исследователей. Препринт вышел в четверг.
Что такое LLM-роутер и где опасность
LLM-роутеры - это сторонние сервисы, агрегирующие доступ к языковым моделям от OpenAI, Anthropic, Google и других. Разработчики подключают их как промежуточный слой, чтобы сэкономить на API или получить гибкость между провайдерами. Проблема в том, что роутер разрывает TLS-соединение и читает каждое сообщение в открытом виде. Любые приватные ключи или сид-фразы в сессии становятся видны сервису.
Цифры из исследования
Соавтор исследования Чаофань Шоу написал в X: "26 LLM-роутеров тайно внедряют вредоносные вызовы инструментов и крадут учётные данные". Исследователи намеренно положили небольшие суммы ETH в тестовые кошельки и передали ключи через роутеры как приманку.
Режим YOLO: агент выполняет всё сам
Авторы зафиксировали ещё один риск. Многие AI-фреймворки имеют так называемый "YOLO mode" - настройку, при которой агент выполняет команды автоматически без подтверждения от пользователя. Роутер, ранее работавший честно, может быть "молча вооружён" после обновления, и оператор ничего не заметит.
Бесплатные роутеры вызывают особое беспокойство: они могут предлагать дешёвый доступ к API как приманку, параллельно собирая данные. "Граница между обработкой данных и кражей невидима для клиента, потому что роутер и так читает секреты в открытом виде", - говорится в статье.
Что делать разработчикам
- Никогда не передавать приватные ключи или сид-фразы через сессию AI-агента
- Проверять репутацию и открытый код роутера перед интеграцией
- Использовать только официальные API-эндпоинты от верифицированных провайдеров
Долгосрочное решение от авторов - криптографическая подпись ответов AI-компаний. Тогда агент сможет математически подтвердить, что команды пришли от легитимной модели, а не подделаны роутером-посредником.
Итог
Угроза реальна для всех, кто пишет крипто-код с AI-агентами. Если агент проходит через сторонний роутер, а в контексте сессии есть ключи от крипто-кошельков или API-аккаунтов, риск утечки ненулевой. Исследователи рекомендуют относиться к любому LLM-роутеру как к потенциально ненадёжному посреднику.
Комментарии
Ваш e-mail адрес не будет опубликован. Обязательные поля отмечены *