¿Sigues comprando estaciones de transferencia de IA en Taobao?
El denunciante de la filtración del código fuente de Claude: al menos decenas han sido envenenados

Las últimas investigaciones del denunciante del incidente de filtración del código fuente de Claude Code revelan que los centros de transferencia de IA en el mercado ocultan riesgos de seguridad. Las pruebas muestran que algunos centros de transferencia roban credenciales, claves privadas de billeteras o inyectan código malicioso, convirtiéndose en nodos vulnerables en ataques a la cadena de suministro.

El denunciante de la filtración del código fuente de Claude Code, revela riesgos de seguridad en los centros de transferencia de IA

Recientemente se publicó un artículo de investigación titulado “Tu agente es mío” (Your Agent Is Mine), cuyo uno de los autores es Chaofan Shou, el denunciante que fue el primero en revelar el incidente de filtración del código fuente de Claude Code.

Este artículo realiza por primera vez un estudio sistemático de amenazas de seguridad en los enrutadores de API de terceros para modelos de lenguaje grande (LLM), comúnmente conocidos como centros de transferencia, y revela que estos centros pueden convertirse en nodos de ataque en la cadena de suministro.

¿Qué es un centro de transferencia de IA?

Debido a que llamar a LLM consume una gran cantidad de tokens, generando costos elevados de cálculo, los centros de transferencia de IA pueden almacenar en caché preguntas y antecedentes repetidos para ayudar a los clientes a ahorrar significativamente en costos.

Al mismo tiempo, estos centros tienen la función de asignar modelos automáticamente, pudiendo cambiar dinámicamente entre diferentes estándares de facturación y modelos de rendimiento según la dificultad de la consulta del usuario, y también cambiar automáticamente a modelos de respaldo si el servidor de un solo modelo se desconecta, asegurando la estabilidad del servicio en general.

Los centros de transferencia en China son especialmente populares porque el país no puede usar directamente ciertos productos de IA en el extranjero, y además las empresas demandan localización en la facturación, por lo que estos centros sirven como puentes importantes entre modelos upstream y desarrolladores downstream. Plataformas como OpenRouter y SiliconFlow pertenecen a esta categoría de servicios.

Sin embargo, aunque parecen reducir costos y barreras técnicas, los centros de transferencia esconden riesgos de seguridad muy graves.

Fuente: Artículo de investigación que revela riesgos de ataques en la cadena de suministro de centros de transferencia de IA

Los centros de transferencia de IA tienen permisos de acceso total, convirtiéndose en vulnerabilidades en la cadena de suministro

El artículo señala que los centros de transferencia operan en la capa de aplicación de la arquitectura de red, con permisos completos para leer en texto claro las cargas JSON durante la transmisión.

Debido a que entre el cliente y el proveedor del modelo upstream falta una verificación de integridad de cifrado de extremo a extremo, los centros de transferencia pueden inspeccionar y modificar fácilmente las claves API, las instrucciones del sistema y los parámetros de salida del modelo utilizados en las llamadas a herramientas.

El equipo de investigación indica que, ya en marzo de 2026, el enrutador de código abierto LiteLLM fue atacado mediante una confusión de dependencias, permitiendo a los atacantes inyectar código malicioso en el pipeline de procesamiento de solicitudes, evidenciando la vulnerabilidad de ese componente.

• **Informe relacionado:**Resumen del ataque de inyección en LiteLLM: ¿cómo verificar si las billeteras cifradas y las claves en la nube están comprometidas?

Pruebas muestran comportamientos maliciosos en decenas de centros de transferencia de IA

El equipo de investigación compró 28 centros de transferencia de pago en plataformas como Taobao, Xianyu y Shopify, y recopiló 400 centros gratuitos de transferencia de código abierto para realizar pruebas exhaustivas, y los resultados muestran que 1 centro de transferencia de pago y 8 gratuitos inyectan activamente código malicioso.

De los centros gratuitos, 17 intentaron usar credenciales de AWS creadas por los investigadores, y 1 incluso robó criptomonedas de la billetera Ethereum de los investigadores.

Los datos también muestran que, si los centros reutilizan credenciales upstream comprometidas o dirigen tráfico a nodos con menor protección, incluso los centros aparentemente normales pueden verse involucrados en el mismo vector de ataque.

En las pruebas de infección, el equipo encontró que los nodos afectados procesaron más de 2.1 mil millones de tokens, exponiendo en 440 sesiones 99 credenciales reales, y 401 sesiones estaban en modo completamente autónomo, permitiendo a los atacantes inyectar cargas maliciosas fácilmente y sin condiciones complejas.

Fuente: Artículo de investigación que muestra que en las pruebas se analizaron más de 400 centros de transferencia, detectando comportamientos maliciosos en varias decenas de ellos

Cuatro principales técnicas de ataque reveladas

El artículo clasifica las acciones maliciosas en los centros de transferencia en dos categorías principales y dos variantes de evasión adaptativa.

• Ataque de inyección de carga: después de que el modelo upstream devuelve resultados, el centro de transferencia modifica silenciosamente los parámetros de llamada a herramientas, por ejemplo, reemplazando URLs legítimos por servidores controlados por el atacante, provocando que el cliente ejecute código malicioso.
• Ataque de filtración de información confidencial: el centro de transferencia intercepta y roba información sensible como claves API, credenciales de AWS y claves privadas de Ethereum mediante escaneo pasivo del tráfico transmitido.

Para evadir las detecciones de seguridad habituales, los atacantes han evolucionado técnicas de inyección en dependencias, alterando los nombres de paquetes en las instrucciones de instalación de software, reemplazando paquetes legítimos por otros maliciosos con nombres iguales o confusamente similares publicados en registros públicos, creando puertas traseras persistentes en la cadena de suministro del sistema objetivo.

Otra técnica es la entrega condicional, donde las acciones maliciosas solo se activan bajo ciertas condiciones, como cuando las solicitudes superan las 50, o cuando se detecta que el sistema está en modo autónomo (modo YOLO), para evitar pruebas de seguridad limitadas.

Tres medidas defensivas recomendadas

Frente a los ataques de envenenamiento en la cadena de suministro de los centros de transferencia de IA, el artículo propone tres medidas defensivas viables:

• Implementar políticas de control en herramientas de alto riesgo: verificando y bloqueando dominios o instrucciones de instalación de paquetes no autorizados, logrando una tasa de falsos positivos del 1% y bloqueando la mayoría de los ataques de inyección de carga.
• Mecanismo de filtrado de anomalías en el extremo receptor: que puede marcar el 89% de las cargas maliciosas con una tasa de falsos positivos del 6.7%, ayudando a los desarrolladores en revisiones manuales.
• Registro de logs de transparencia adicional: aunque no previene ataques, guarda hashes de solicitudes y respuestas para facilitar la trazabilidad y evaluación de daños en caso de incidentes de seguridad.

Llamado a los proveedores upstream para establecer mecanismos de verificación criptográfica

Aunque las defensas en el cliente pueden reducir algunos riesgos en la etapa actual, no resuelven fundamentalmente las vulnerabilidades en la verificación de identidad de origen. Mientras las modificaciones en los centros de transferencia no activen alertas en el cliente, los atacantes aún podrán alterar fácilmente la semántica de la ejecución del programa y causar daños.

Para garantizar la seguridad del ecosistema de agentes de IA, es imprescindible que los proveedores upstream ofrezcan mecanismos de respuesta con verificación criptográfica. Solo vinculando de forma segura los resultados del modelo con las instrucciones finales ejecutadas en el cliente, se puede asegurar la integridad de los datos de extremo a extremo y prevenir completamente los riesgos de manipulación en la cadena de suministro por parte de los centros de transferencia.

Lecturas complementarias:
¡OpenAI usó Mixpanel y tuvo problemas! ¡Vulneración de datos de algunos usuarios, cuidado con los correos de phishing!

¡Un error de copiar y pegar hizo evaporar 50 millones de dólares! La estafa con direcciones cifradas vuelve, ¿cómo prevenirla?