サードパーティのAIルーティングサービスは、暗号通貨やクラウド資格情報の盗難につながる重大なセキュリティ脆弱性をユーザーに晒しています。概要* 研究者は、26のサードパーティLLMルーターが積極的に悪意のあるコードを注入し、平文データへのアクセスを利用して資格情報を盗んでいることを発見しました。* その調査により、中間者は安全な暗号化を終了させてAIリクエストを集約するため、秘密鍵やクラウド資格情報を傍受できることが明らかになりました。木曜日にカリフォルニア大学の研究者が発表した論文によると、大規模言語モデル((LLM))のサプライチェーンには、悪意のあるコード注入や資格情報抽出を可能にするいくつかの脆弱性が存在します。これらの中間者は、GoogleやOpenAIなどのプロバイダーへのアクセス管理に開発者が利用するもので、実質的に「仲介者」として働き、安全な暗号化を終了させます。彼らは送信されるすべてのメッセージに対して平文アクセスを持っているため、シードフレーズや秘密鍵などの敏感なデータが未検証のインフラによって傍受される可能性があります。# 回避策と「YOLO」リスク研究者は、これらのリスクの範囲を測るために、無料のルーター400件と有料のルーター28件をテストしました。これらのサービスのうち9つは積極的に悪意のあるコードを注入し、17のルーターはチームが所有するAmazon Web Servicesの資格情報にアクセスしているのが検出されました。実験中、1つのルーターは研究者が事前に資金を投入した秘密鍵を提供した後、デコイウォレットからEtherを吸い出すことに成功しました。チームは損失を50ドル未満に抑えるためにバランスを低く保ちましたが、この結果は、侵害された中間者が資金を簡単に吸い上げることができることを証明しています。「26のLLMルーターが密かに悪意のあるツール呼び出しを注入し、資格情報を盗んでいます」と共同著者のChaofan ShouはXで述べました。悪意のあるルーターを識別するのは、一般ユーザーにとって難しい作業です。研究者は、これらのサービスはデータを読み取る必要があるため、正当な処理と積極的な窃盗の間に見た目の違いはないと指摘しました。リスクは、多くのAIフレームワークで設定できる「YOLOモード」を有効にしたときに高まります。これは、エージェントが人間の確認なしにコマンドを自動的に実行できる設定です。これにより、攻撃者はユーザーのシステムが即座に実行する指示を送ることができ、しばしば運用者の知識なしに行われます。「‘資格情報の取り扱い’と‘資格情報の窃盗’の境界は、ルーターが通常の転送の一環として秘密を平文で読むため、クライアントには見えません」と調査は説明しています。以前は信頼されていたルーターも、漏洩した資格情報を弱いリレーを通じて再利用する場合、危険になり得ます。これらの攻撃を防ぐために、研究チームは、開発者は絶対に秘密鍵や敏感なフレーズをAIエージェントのセッションを通じて渡さないようにすべきだと提案しました。恒久的な解決策は、AI企業が暗号署名を使用することを必要とします。そのようなシステムは、エージェントが指示が実際のモデルから来たものであり、改ざんされた第三者のソースではないことを数学的に証明できるようにします。「LLM APIルーターは、エコシステムが現在透明な輸送とみなしている重要な信頼境界に位置しています」と論文は結論付けています。
UC研究者はサードパーティAIルーターが暗号と秘密鍵を盗んでいると警告
サードパーティのAIルーティングサービスは、暗号通貨やクラウド資格情報の盗難につながる重大なセキュリティ脆弱性をユーザーに晒しています。
概要
木曜日にカリフォルニア大学の研究者が発表した論文によると、大規模言語モデル((LLM))のサプライチェーンには、悪意のあるコード注入や資格情報抽出を可能にするいくつかの脆弱性が存在します。
これらの中間者は、GoogleやOpenAIなどのプロバイダーへのアクセス管理に開発者が利用するもので、実質的に「仲介者」として働き、安全な暗号化を終了させます。
彼らは送信されるすべてのメッセージに対して平文アクセスを持っているため、シードフレーズや秘密鍵などの敏感なデータが未検証のインフラによって傍受される可能性があります。
回避策と「YOLO」リスク
研究者は、これらのリスクの範囲を測るために、無料のルーター400件と有料のルーター28件をテストしました。これらのサービスのうち9つは積極的に悪意のあるコードを注入し、17のルーターはチームが所有するAmazon Web Servicesの資格情報にアクセスしているのが検出されました。
実験中、1つのルーターは研究者が事前に資金を投入した秘密鍵を提供した後、デコイウォレットからEtherを吸い出すことに成功しました。
チームは損失を50ドル未満に抑えるためにバランスを低く保ちましたが、この結果は、侵害された中間者が資金を簡単に吸い上げることができることを証明しています。
「26のLLMルーターが密かに悪意のあるツール呼び出しを注入し、資格情報を盗んでいます」と共同著者のChaofan ShouはXで述べました。
悪意のあるルーターを識別するのは、一般ユーザーにとって難しい作業です。研究者は、これらのサービスはデータを読み取る必要があるため、正当な処理と積極的な窃盗の間に見た目の違いはないと指摘しました。
リスクは、多くのAIフレームワークで設定できる「YOLOモード」を有効にしたときに高まります。これは、エージェントが人間の確認なしにコマンドを自動的に実行できる設定です。
これにより、攻撃者はユーザーのシステムが即座に実行する指示を送ることができ、しばしば運用者の知識なしに行われます。
「‘資格情報の取り扱い’と‘資格情報の窃盗’の境界は、ルーターが通常の転送の一環として秘密を平文で読むため、クライアントには見えません」と調査は説明しています。
以前は信頼されていたルーターも、漏洩した資格情報を弱いリレーを通じて再利用する場合、危険になり得ます。これらの攻撃を防ぐために、研究チームは、開発者は絶対に秘密鍵や敏感なフレーズをAIエージェントのセッションを通じて渡さないようにすべきだと提案しました。
恒久的な解決策は、AI企業が暗号署名を使用することを必要とします。そのようなシステムは、エージェントが指示が実際のモデルから来たものであり、改ざんされた第三者のソースではないことを数学的に証明できるようにします。
「LLM APIルーターは、エコシステムが現在透明な輸送とみなしている重要な信頼境界に位置しています」と論文は結論付けています。