Los servicios de enrutamiento de IA de terceros están exponiendo a los usuarios a fallos de seguridad significativos que podrían resultar en el robo de criptomonedas y credenciales en la nube.

Resumen

• Los investigadores descubrieron que 26 enrutadores de LLM de terceros están inyectando activamente código malicioso y robando credenciales explotando su acceso a datos en texto claro.
• El estudio reveló que los intermediarios pueden interceptar claves privadas y credenciales en la nube porque terminan con un cifrado seguro para agregar solicitudes de IA.

Según un documento publicado el jueves por investigadores de la Universidad de California, la cadena de suministro para Modelos de Lenguaje Grande (LLM) contiene varias vulnerabilidades que permiten la inyección de código malicioso y la extracción de credenciales

Estos intermediarios, que los desarrolladores usan para gestionar el acceso a proveedores como Google u OpenAI, actúan esencialmente como un “intermediario” que termina con un cifrado seguro

Porque tienen acceso completo en texto claro a cada mensaje enviado a través de ellos, datos sensibles como frases semilla o claves privadas pueden ser interceptados por infraestructura no verificada.

Estrategias de evasión y el riesgo “YOLO”

Los investigadores probaron 400 enrutadores gratuitos y 28 de pago para medir la magnitud de estos riesgos. Nueve de estos servicios inyectaron activamente código malicioso, mientras que 17 enrutadores separados fueron detectados accediendo a credenciales de Amazon Web Services propiedad del equipo

Durante el experimento, un enrutador logró vaciar Ether de una billetera señuelo después de que los investigadores proporcionaron una clave privada prefinanciada

Aunque el equipo mantuvo los saldos bajos para asegurar que la pérdida total permaneciera por debajo de $50, el resultado confirmó lo fácil que es para un intermediario comprometido extraer fondos.

“26 enrutadores LLM están inyectando secretamente llamadas a herramientas maliciosas y robando credenciales,” afirmó Chaofan Shou, coautor, en X.

Identificar un enrutador malicioso es una tarea difícil para el usuario promedio. Los investigadores señalaron que, dado que estos servicios deben leer datos para reenviarlos, no hay diferencia visible entre un manejo legítimo y un robo activo

El peligro aumenta cuando los desarrolladores habilitan el “modo YOLO,” una configuración en muchos marcos de IA que permite a un agente ejecutar comandos automáticamente sin que un humano confirme la acción

Esto permite a un atacante enviar instrucciones que el sistema del usuario ejecutará instantáneamente, a menudo sin que el operador lo sepa.

“La frontera entre ‘manejo de credenciales’ y ‘robo de credenciales’ es invisible para el cliente porque los enrutadores ya leen secretos en texto claro como parte del reenvío normal,” explicó el estudio.

Los enrutadores previamente confiables pueden volverse peligrosos si reutilizan credenciales filtradas a través de relés débiles. Para prevenir estos ataques, el equipo de investigación sugirió que los desarrolladores nunca deben permitir que claves privadas o frases sensibles pasen por una sesión de agente de IA

Una solución permanente requeriría que las empresas de IA usen firmas criptográficas. Tal sistema permitiría a un agente demostrar matemáticamente que las instrucciones provienen del modelo real en lugar de una fuente de terceros manipulada.

“Los enrutadores de API de LLM se encuentran en un límite de confianza crítico que el ecosistema actualmente trata como un transporte transparente,” concluyó el documento.