¿Sigues comprando en Taobao un centro de transferencia de IA?
El denunciante de la filtración del código fuente de Claude: al menos decenas de personas han sido envenenadas

Las últimas investigaciones sobre la filtración del código fuente de Claude revelan que los centros de transferencia de IA en el mercado ocultan riesgos de seguridad. Las pruebas muestran que algunos centros de transferencia roban credenciales, claves privadas de billeteras o inyectan código malicioso, convirtiéndose en nodos vulnerables en ataques a la cadena de suministro.

Las últimas investigaciones revelan riesgos de seguridad en los centros de transferencia de IA

Recientemente se publicó un artículo de investigación titulado “Tu agente es mío” (Your Agent Is Mine), cuyo uno de los autores es Chaofan Shou, el primer denunciante de la filtración del código fuente de Claude.

Este artículo realiza por primera vez un estudio sistemático de amenazas de seguridad en los enrutadores de API de terceros para modelos de lenguaje grande (LLM), comúnmente conocidos como centros de transferencia, y revela que estos centros pueden convertirse en nodos de ataque en la cadena de suministro.

¿Qué es un centro de transferencia de IA?

Debido a que llamar a LLM consume una gran cantidad de tokens, generando costos elevados de computación, los centros de transferencia de IA pueden almacenar en caché preguntas repetidas y antecedentes, ayudando a los clientes a reducir significativamente los costos.

Al mismo tiempo, estos centros tienen la función de asignar modelos automáticamente, pudiendo cambiar dinámicamente entre diferentes modelos según la dificultad de la consulta del usuario, con diferentes tarifas y rendimiento, y cambiar automáticamente a modelos de respaldo si el servidor de un modelo se desconecta, asegurando la estabilidad del servicio en general.

Los centros de transferencia en China son especialmente populares porque el país no puede usar directamente ciertos productos de IA extranjeros, y además las empresas demandan localización en la facturación, por lo que estos centros sirven como puentes importantes entre los modelos upstream y los desarrolladores downstream. Plataformas como OpenRouter y SiliconFlow pertenecen a esta categoría de servicios.

Sin embargo, aunque parecen reducir costos y barreras técnicas, los centros de transferencia esconden riesgos de seguridad muy graves.

Fuente: Artículo de investigación que revela riesgos de ataques en la cadena de suministro de centros de transferencia de IA

Los centros de transferencia de IA tienen permisos de acceso total, convirtiéndose en vulnerabilidades en la cadena de suministro

El artículo señala que los centros de transferencia operan en la capa de aplicación de la arquitectura de red, y tienen permisos completos para leer en texto claro las cargas JSON durante la transmisión.

Debido a que entre el cliente y el proveedor del modelo upstream falta una verificación de integridad de cifrado de extremo a extremo, los centros de transferencia pueden inspeccionar y modificar fácilmente las claves API, las instrucciones del sistema y los parámetros de salida del modelo.

El equipo de investigación indica que, ya en marzo de 2026, el enrutador de código abierto LiteLLM fue atacado mediante una confusión de dependencias, permitiendo a los atacantes inyectar código malicioso en el pipeline de procesamiento de solicitudes, evidenciando la vulnerabilidad de ese componente.

• **Informe relacionado:**Resumen del ataque de inyección en LiteLLM: ¿cómo verificar si las billeteras cifradas y las claves en la nube están comprometidas?

Pruebas muestran comportamientos maliciosos en decenas de centros de transferencia de IA

El equipo de investigación compró 28 centros de transferencia de pago en plataformas como Taobao, Xianyu y Shopify, y recopiló 400 centros gratuitos de transferencia de comunidades públicas para realizar pruebas exhaustivas, y los resultados muestran que 1 centro de transferencia de pago y 8 gratuitos inyectan código malicioso activamente.

De los centros gratuitos, 17 intentaron usar credenciales AWS creadas por los investigadores, y 1 incluso robó criptomonedas de la billetera Ethereum de los investigadores.

Los datos también muestran que, si los centros reutilizan credenciales upstream comprometidas o dirigen el tráfico a nodos con menor protección, incluso los centros aparentemente normales pueden quedar involucrados en el mismo vector de ataque.

En las pruebas de infección, el equipo encontró que los nodos afectados procesaron más de 2.1 mil millones de tokens, y en 440 sesiones se expusieron 99 credenciales reales, de las cuales 401 sesiones estaban en modo completamente autónomo, permitiendo a los atacantes inyectar cargas maliciosas de forma sencilla y directa, sin necesidad de condiciones complejas de activación.

Fuente: Artículo de investigación que muestra que en las pruebas se analizaron más de 400 centros de transferencia, detectando comportamientos maliciosos en varias decenas de ellos

Cuatro principales técnicas de ataque reveladas

El artículo clasifica las acciones maliciosas en los centros de transferencia en dos categorías principales y dos variantes de evasión adaptativa.

• Ataque de inyección de carga: después de que el centro de transferencia recibe resultados del modelo upstream, modifica silenciosamente los parámetros de llamada a herramientas, por ejemplo, reemplazando URLs legítimas por servidores controlados por el atacante, provocando que el cliente ejecute código malicioso.
• Ataque de filtración de información confidencial: el centro de transferencia intercepta y roba información sensible como claves API, credenciales de AWS y claves privadas de Ethereum mediante escaneo pasivo del tráfico transmitido.

Para evadir las detecciones de seguridad habituales, los atacantes han evolucionado técnicas de inyección en dependencias, alterando los nombres de los paquetes en las instrucciones de instalación de los paquetes, reemplazando paquetes legítimos por otros maliciosos con nombres iguales o confusamente similares publicados en registros públicos, creando puertas traseras persistentes en el sistema objetivo.

Otra técnica consiste en entregas condicionales, donde las acciones maliciosas solo se activan bajo ciertas condiciones, como cuando las solicitudes superan las 50, o cuando se detecta que el sistema está en modo autónomo (modo YOLO), para evitar detecciones limitadas.

Tres medidas defensivas recomendadas

Frente a los ataques de cadena de suministro en la inyección de código en centros de transferencia de IA, el artículo propone tres medidas defensivas viables:

• Implementar políticas de control para herramientas de alto riesgo: verificando y bloqueando dominios o instrucciones de instalación no autorizadas, logrando una tasa de falsos positivos del 1%, y bloqueando la mayoría de los ataques de inyección.
• Mecanismo de filtrado de anomalías en el extremo receptor: que puede marcar el 89% de las cargas maliciosas con una tasa de falsos positivos del 6.7%, ayudando a los desarrolladores en revisiones manuales.
• Registro de logs de transparencia adicional: aunque no previene ataques, permite guardar hashes de solicitudes y respuestas, facilitando la trazabilidad y evaluación de daños en caso de incidentes de seguridad.

Llamado a los proveedores upstream para implementar mecanismos de verificación criptográfica

Aunque las defensas en el cliente pueden reducir algunos riesgos en la actualidad, no resuelven fundamentalmente las vulnerabilidades en la verificación de identidad en la fuente. Mientras las modificaciones en los centros de transferencia no activen alertas en el cliente, los atacantes pueden seguir alterando fácilmente la semántica de la ejecución del programa y causar daños.

Para garantizar la seguridad del ecosistema de agentes de IA, es imprescindible que los proveedores upstream ofrezcan mecanismos de respuesta con verificación criptográfica. Solo vinculando de forma segura los resultados del modelo con las instrucciones finales del cliente mediante cifrado riguroso, se puede asegurar la integridad de los datos de extremo a extremo y prevenir completamente los riesgos de la cadena de suministro por alteraciones en los centros de transferencia.

Lecturas complementarias:
¡Cuidado con Mixpanel usado por OpenAI! Filtración de datos de algunos usuarios, posible phishing

¡Un error de copiar y pegar hizo evaporar 50 millones de dólares! Reaparece la estafa con direcciones cifradas, ¿cómo prevenirla?