¿Sigues comprando en Taobao un centro de transferencia de IA?
El denunciante de la filtración del código fuente de Claude: al menos decenas de personas han sido envenenadas

El último estudio sobre la filtración del código fuente de Claude Code revela que los centros de transferencia de IA en el mercado ocultan riesgos de seguridad. Las pruebas muestran que algunos centros de transferencia roban credenciales, claves privadas de billeteras o inyectan código malicioso, convirtiéndose en nodos vulnerables en ataques a la cadena de suministro.

El denunciante de la filtración del código fuente de Claude Code revela riesgos de seguridad en los centros de transferencia de IA

Recientemente se publicó un artículo de investigación titulado «Tu agente es mío» (Your Agent Is Mine), cuyo uno de los autores es Chaofan Shou, el primer denunciante que reveló la filtración del código fuente de Claude Code.

Este artículo realiza por primera vez un estudio sistemático de amenazas de seguridad en los enrutadores de API de terceros para modelos de lenguaje grande (LLM), comúnmente conocidos como centros de transferencia, y revela que estos centros pueden convertirse en nodos de ataque en la cadena de suministro.

¿Qué es un centro de transferencia de IA?

Debido a que llamar a LLM consume una gran cantidad de tokens, generando costos elevados de computación, los centros de transferencia de IA pueden usar cachés para repetir preguntas y contextos, ayudando a los clientes a reducir significativamente los costos.

Al mismo tiempo, estos centros tienen la función de asignar modelos automáticamente, pudiendo cambiar dinámicamente entre diferentes modelos con distintos estándares de facturación y rendimiento según la dificultad de la consulta del usuario, y también cambiar automáticamente a modelos de respaldo si el servidor de un modelo se desconecta, asegurando la estabilidad del servicio en general.

Los centros de transferencia en China son especialmente populares, ya que el país no puede usar directamente ciertos productos de IA en el extranjero, y además las empresas demandan localización en la facturación, por lo que estos centros sirven como puentes importantes entre los modelos upstream y los desarrolladores downstream. Plataformas como OpenRouter y SiliconFlow pertenecen a esta categoría de servicios.

Sin embargo, a pesar de parecer reducir costos y barreras técnicas, los centros de transferencia esconden riesgos de seguridad muy graves.

Fuente de la imagen: El artículo de investigación revela riesgos de ataques en la cadena de suministro de centros de transferencia de IA

Los centros de transferencia de IA tienen acceso completo, convirtiéndose en vulnerabilidades en la cadena de suministro

El estudio indica que los centros operan en la capa de aplicación de la arquitectura de red, con acceso completo para leer en texto claro las cargas JSON durante la transmisión.

Debido a que entre el cliente y el proveedor del modelo upstream falta una verificación de integridad de cifrado de extremo a extremo, los centros de transferencia pueden inspeccionar y modificar fácilmente las claves API, las instrucciones del sistema y los parámetros de salida del modelo.

El equipo de investigación señala que, ya en marzo de 2026, el enrutador de código abierto LiteLLM fue atacado mediante una confusión de dependencias, permitiendo a los atacantes inyectar código malicioso en el pipeline de procesamiento de solicitudes, evidenciando la vulnerabilidad de esa etapa.

• Informe relacionado:** Resumen del ataque de inyección en LiteLLM: ¿Cómo verificar si las billeteras cifradas y las claves en la nube están comprometidas?**

Pruebas muestran comportamientos maliciosos en decenas de centros de transferencia de IA

El equipo de investigación compró 28 centros de transferencia de pago en plataformas como Taobao, Xianyu y Shopify, y recopiló 400 centros gratuitos de comunidades públicas para realizar pruebas exhaustivas, y los resultados muestran que 1 centro de transferencia de pago y 8 gratuitos inyectan código malicioso activamente.

En las muestras de centros gratuitos, 17 intentaron usar credenciales de AWS creadas por los investigadores, y 1 incluso robó criptomonedas de la billetera Ethereum de los investigadores.

Los datos también muestran que, si los centros reutilizan credenciales filtradas upstream o dirigen el tráfico a nodos con menor protección, incluso centros aparentemente normales pueden verse involucrados en el mismo vector de ataque.

En las pruebas de infección, el equipo encontró que los nodos afectados procesaron más de 2.1 mil millones de tokens, y en 440 sesiones se expusieron 99 credenciales reales, de las cuales 401 sesiones estaban en modo completamente autónomo, permitiendo a los atacantes inyectar cargas maliciosas fácilmente sin condiciones complejas.

Fuente de la imagen: El artículo de investigación muestra que en las pruebas se analizaron más de 400 centros de transferencia, detectando comportamientos maliciosos en varias decenas de ellos

Cuatro principales técnicas de ataque reveladas

El estudio clasifica las acciones maliciosas en los centros de transferencia en dos categorías principales y dos variantes de evasión adaptativa.

• Ataque de inyección de carga: después de que el modelo upstream devuelve resultados, el centro de transferencia modifica silenciosamente los parámetros de llamada a herramientas, por ejemplo, reemplazando URLs legítimas por servidores controlados por el atacante, provocando la ejecución de código malicioso en el cliente.
• Ataque de filtración de información confidencial: el centro de transferencia intercepta y roba información sensible como claves API, credenciales de AWS y claves privadas de Ethereum mediante escaneo pasivo del tráfico transmitido.

Para evadir las detecciones de seguridad habituales, los atacantes han evolucionado técnicas de inyección en dependencias, alterando los nombres de paquetes en las instrucciones de instalación de software, reemplazando paquetes legítimos por versiones maliciosas con nombres iguales o confusos, publicados en registros públicos, para establecer puertas traseras persistentes en el sistema objetivo.

Otra técnica es la entrega condicional, donde las acciones maliciosas solo se activan bajo ciertas condiciones, como cuando las solicitudes superan las 50 veces, o cuando el sistema está en modo completamente autónomo (modo YOLO), para evitar detecciones limitadas.

Tres medidas defensivas viables

Frente a los ataques de cadena de suministro en la inyección de datos en los centros de transferencia de IA, el estudio propone tres medidas defensivas:

• Implementar políticas de control para herramientas de alto riesgo: verificando y bloqueando dominios o instrucciones de instalación no autorizadas, logrando una tasa de falsos positivos del 1% y bloqueando la mayoría de ataques de inyección de carga.
• Mecanismo de filtrado de anomalías en el extremo receptor: que puede identificar el 89% de las cargas maliciosas con una tasa de falsos positivos del 6.7%, ayudando a los desarrolladores en revisiones manuales.
• Registro de logs de transparencia adicional: aunque no previene ataques, permite guardar hashes de solicitudes y respuestas para rastrear y evaluar daños en caso de incidentes de seguridad.

Llamado a los proveedores upstream para implementar mecanismos de verificación criptográfica

Aunque las defensas en el cliente pueden reducir algunos riesgos en la actualidad, no resuelven fundamentalmente las vulnerabilidades en la verificación de identidad en origen. Mientras las modificaciones en los centros de transferencia no disparen alertas en el cliente, los atacantes pueden seguir alterando fácilmente la semántica de la ejecución del programa y causar daños.

Para garantizar la seguridad del ecosistema de agentes de IA, es imprescindible que los proveedores upstream ofrezcan mecanismos de respuesta con verificación criptográfica. Solo vinculando de forma segura los resultados del modelo con las instrucciones finales del cliente mediante cifrado riguroso, se puede asegurar la integridad de los datos de extremo a extremo y prevenir completamente los riesgos de manipulación en la cadena de suministro por parte de los centros de transferencia.

Lecturas complementarias:
¡OpenAI usa Mixpanel y tuvo problemas! ¡Filtración de datos de algunos usuarios, cuidado con los correos de phishing!

¡Un error de copiar y pegar hizo evaporar 50 millones de dólares! La estafa con direcciones cifradas vuelve, ¿cómo prevenirla?