Layanan routing AI pihak ketiga mengekspos pengguna terhadap celah keamanan yang signifikan yang dapat mengakibatkan pencurian cryptocurrency dan kredensial cloud.

Ringkasan

• Peneliti menemukan bahwa 26 router LLM pihak ketiga secara aktif menyuntikkan kode berbahaya dan mencuri kredensial dengan memanfaatkan akses mereka ke data teks biasa.
• Studi mengungkapkan bahwa perantara dapat menyadap kunci pribadi dan kredensial cloud karena mereka mengakhiri enkripsi aman untuk menggabungkan permintaan AI.

Menurut sebuah makalah yang diterbitkan pada hari Kamis oleh peneliti dari University of California, rantai pasokan untuk Model Bahasa Besar (LLM) mengandung beberapa kerentanan yang memungkinkan injeksi kode berbahaya dan pengambilan kredensial

Perantara ini, yang digunakan pengembang untuk mengelola akses ke penyedia seperti Google atau OpenAI, pada dasarnya bertindak sebagai “perantara” yang mengakhiri enkripsi aman

Karena mereka memiliki akses penuh ke teks biasa dari setiap pesan yang dikirimkan melalui mereka, data sensitif seperti frase seed atau kunci pribadi dapat disadap oleh infrastruktur yang tidak terverifikasi.

Taktik pengelakan dan risiko “YOLO”

Para peneliti menguji 400 router gratis dan 28 berbayar untuk mengukur sejauh mana risiko ini. Sembilan dari layanan ini secara aktif menyuntikkan kode berbahaya, sementara 17 router terpisah tertangkap mengakses kredensial Amazon Web Services milik tim

Selama percobaan, satu router berhasil menguras Ether dari dompet umpan setelah peneliti menyediakan kunci pribadi yang sudah didanai sebelumnya

Meskipun tim menjaga saldo tetap rendah agar kerugian total tetap di bawah $50, hasilnya mengonfirmasi betapa mudahnya perantara yang dikompromikan menyedot dana.

“26 router LLM diam-diam menyuntikkan panggilan alat berbahaya dan mencuri kredensial,” kata co-author Chaofan Shou di X.

Mengidentifikasi router berbahaya adalah tugas yang sulit bagi pengguna biasa. Para peneliti mencatat bahwa karena layanan ini harus membaca data untuk meneruskannya, tidak ada perbedaan yang terlihat antara penanganan yang sah dan pencurian aktif

Bahaya meningkat ketika pengembang mengaktifkan “mode YOLO,” sebuah pengaturan di banyak kerangka kerja AI yang memungkinkan agen menjalankan perintah secara otomatis tanpa konfirmasi manusia

Ini memungkinkan penyerang mengirim instruksi yang akan dijalankan sistem pengguna secara instan, sering kali tanpa pengetahuan operator.

“Batas antara ‘penanganan kredensial’ dan ‘pencurian kredensial’ tidak terlihat oleh klien karena router sudah membaca rahasia dalam teks biasa sebagai bagian dari pengiriman normal,” jelas studi tersebut.

Router yang sebelumnya dapat diandalkan bisa menjadi berbahaya jika mereka menggunakan kembali kredensial yang bocor melalui relay yang lemah. Untuk mencegah serangan ini, tim peneliti menyarankan agar pengembang tidak pernah mengizinkan kunci pribadi atau frase sensitif melewati sesi agen AI

Solusi permanen akan membutuhkan perusahaan AI untuk menggunakan tanda tangan kriptografi. Sistem semacam ini akan memungkinkan agen membuktikan secara matematis bahwa instruksi berasal dari model asli daripada sumber pihak ketiga yang telah dirusak.

“Router API LLM berada di batas kepercayaan yang kritis yang saat ini diperlakukan sebagai transportasi transparan oleh ekosistem,” simpul makalah tersebut.