Засновник Solayer розкриває серйозні безпекові ризики у ланцюжку постачання LLM: понад 20% безкоштовних маршрутизаторів були виявлені зловмисно інжектованими

Повідомлення з CoinWorld: 10 квітня засновник Solayer @Fried_rice опублікував у соціальних мережах заяву про те, що агентам із великими мовними моделями (LLM) дедалі більше потрібні сторонні API-роутери, які розподіляють запити на виклик інструментів між кількома постачальниками. Ці роутери працюють як проксі на рівні застосунків і можуть у відкритому вигляді отримувати доступ до JSON-пейлоадів, що передаються під час кожного сеансу, але наразі жоден постачальник не примушує застосовувати шифрування, щоб захистити цілісність між клієнтом і моделлю-верховодом. У роботі протестовано 28 платних роутерів, придбаних на Taobao, Xianyu та Shopify з незалежних сайтів, а також 400 безкоштовних роутерів, зібраних із відкритих спільнот. Результати показали, що 1 платний роутер і 8 безкоштовних роутерів активно впроваджують зловмисний код, 2 розгорнуті з адаптивним обходом тригерів, 17 зачепили облікові дані AWS Canary, що належать дослідникам, а ще 1 вкрало ETH із приватного ключа, який перебував у володінні дослідників.

Два дослідження з отруєнням додатково свідчать, що навіть роутери, які виглядають нешкідливо, можуть бути використані: витік ключа OpenAI застосували для генерації 100 мільйонів токенів GPT-5.4 і понад 7 сесій Codex; а менш надійно налаштовані приманки призвели до появи 2 мільярдів платних токенів, 99 облікових даних, що охоплюють 440 сесій Codex, а також 401 сесії, які вже працювали у автономному режимі YOLO. Дослідницька команда створила дослідницького агента під назвою Mine, який може здійснювати всі чотири типи атак на чотири публічні проксі-фреймворки, а також підтвердила роботу трьох засобів захисту на стороні клієнта: політики блокування при збоях (fault closure), фільтрації аномалій на стороні відповіді та ведення прозорих журналів лише з дописуванням.