Все ще купуєте AI-центр на Таобао? Витік вихідного коду Claude Code — інформатор: щонайменше десятки були отруєні

Виявлення останніх досліджень щодо витоку вихідного коду Claude Code, викривачі повідомляють, що внутрішні AI-ретранслятори містять серйозні ризики безпеки. Практичні дослідження показали, що деякі ретранслятори крадуть сертифікати, приватні ключі гаманців або вставляють шкідливий код, ставши точками атаки в ланцюжку поставок.

Викривач витоку вихідного коду Claude Code, розкриває ризики безпеки AI-ретрансляторів

Нещодавно опубліковано дослідження «Твій агент — мій» (Your Agent Is Mine), одним із авторів якого є Chaofan Shou, викривач, що раніше повідомляв про витік вихідного коду Claude Code.

Це перше систематичне дослідження безпеки сторонніх API-роутерів для великих мовних моделей (LLM), так званих ретрансляторів, і виявлення потенційних точок атаки в ланцюжку поставок таких сервісів.

Що таке AI-ретранслятор?

Оскільки виклики LLM споживають багато токенів і призводять до високих обчислювальних витрат, AI-ретранслятори можуть кешувати повторювані запити з метою значної економії коштів.

Крім того, ретранслятори мають функцію автоматичного розподілу моделей, що дозволяє динамічно перемикатися між різними моделями з різними тарифами та продуктивністю залежно від складності запитів користувачів, а також автоматично перемикатися на резервну модель у разі збоїв основної, забезпечуючи стабільність сервісу.

Ретранслятори особливо популярні в Китаї, оскільки країна не має прямого доступу до деяких закордонних AI-продуктів, а також через потребу локалізації тарифів для компаній. Тому ретранслятори стають важливим мостом між верхніми моделями та нижніми розробниками. Платформи, такі як OpenRouter та SiliconFlow, належать до цієї категорії сервісів.

Проте, хоча ретранслятори здаються дешевшими та менш технічно складними, за їхньою зовнішньою оболонкою приховані великі ризики безпеки.

Джерело: дослідження розкриває ризики атак у ланцюжку поставок AI-ретрансляторів

AI-ретранслятори мають повний доступ, що створює вразливості для ланцюжка поставок

Дослідження показує, що ретранслятори працюють на рівні прикладної обробки у мережевій архітектурі і мають повний доступ до відкритого тексту JSON-повідомлень, що передаються.

Оскільки між клієнтом і постачальником верхньої моделі відсутня повна перевірка цілісності шифрування кінця в кінець, ретранслятор може легко переглядати та змінювати API-ключі, системні підказки та параметри викликів моделей.

Команда дослідників зазначає, що ще у березні 2026 року популярний відкритий маршрутизатор LiteLLM вже піддавався атакам через конфлікти залежностей, що дозволяло зловмисникам вставляти шкідливий код у обробку запитів, підкреслюючи вразливість цього етапу.

• **Пов’язані матеріали:**Звіт про інцидент з LiteLLM: як перевірити, чи не зламаний ваш криптогаманець або хмарний ключ?

Практичні тести десятків AI-ретрансляторів показали шкідливу поведінку

Команда дослідників купила 28 платних ретрансляторів на платформах Taobao, Xianyu та Shopify, а також зібрала дані з 400 безкоштовних ретрансляторів із відкритих спільнот для глибокого тестування, і виявила, що 1 платний і 8 безкоштовних ретрансляторів активно вставляють шкідливий код.

У тестових зразках безкоштовних ретрансляторів 17 з них намагалися використовувати підставні AWS-сертифікати, а один з них безпосередньо викрав криптовалюту з Ethereum-гаманця дослідників.

Дані дослідження показують, що повторне використання витеклих сертифікатів верхніх рівнів або перенаправлення трафіку до менш захищених вузлів може змусити навіть нібито безпечний ретранслятор стати частиною тієї ж атаки.

Під час тестів на зараження команда виявила, що заражені вузли обробили понад 2,1 мільярда токенів, і у 440 сесіях було виявлено 99 справжніх сертифікатів, а 401 сесія працювала у повністю автономному режимі, що дозволяє зловмисникам легко вставляти шкідливі навантаження без складних триггерів.

Джерело: дослідження показує, що понад 400 ретрансляторів були протестовані, і десятки з них демонстрували шкідливу поведінку

Чотири основні методи атак розкрито

Дослідження класифікує шкідливу поведінку ретрансляторів у дві основні категорії та дві адаптивні варіації.

• Атаки ін’єкції навантаження: після отримання результату від верхньої моделі, ретранслятор таємно змінює параметри викликів, наприклад, замінює легітимний URL на сервер, контрольований зловмисником, що призводить до виконання шкідливого коду на клієнті.
• Атаки витоку конфіденційної інформації: ретранслятор пасивно сканує трафік, перехоплює та краде API-ключі, сертифікати AWS та приватні ключі Ethereum.

Щоб уникнути стандартних засобів безпеки, зловмисники вдосконалили методи ін’єкції залежностей, змінивши назви пакетів у командах встановлення, підмінюючи легітимні пакети на зловмисні, опубліковані у відкритих реєстрах, або схожі за назвою, створюючи довгострокові «задні двері» у системі.

Ще один підхід — умовна доставка, коли шкідлива поведінка активується лише за певних умов, наприклад, при понад 50 запитах або при виявленні роботи у повністю автономному режимі (YOLO), щоб уникнути виявлення під час обмежених тестів безпеки.

Три можливі заходи захисту

У відповідь на атаки у ланцюжку поставок AI-ретрансляторів, дослідження пропонує три заходи захисту:

• Впровадження політик для високоризикових інструментів: перевірка та блокування несанкціонованих доменів або команд встановлення пакетів, що дозволяє зменшити до 1% ймовірності помилкових спрацьовувань і запобігти більшості атак ін’єкції навантаження.
• Механізм виявлення аномалій на стороні відповіді: здатний з точністю 93.3% і помилковістю 6.7% позначати 89% шкідливих зразків, допомагаючи розробникам у ручній перевірці.
• Додатковий журнал прозорості: хоча він не запобігає атакам, зберігає хеші запитів і відповідей для можливості подальшого розслідування та оцінки шкоди у разі інциденту.

Заклик до верхніх постачальників моделей — впроваджувати криптографічну перевірку

Хоча клієнтські механізми захисту здатні знизити частину ризиків на даному етапі, вони не усувають корінних вразливостей у ідентифікації джерела. Якщо зміни у ретрансляторі не викликають попереджень у клієнта, зловмисник може легко змінювати поведінку програми та руйнувати її.

Щоб повністю забезпечити безпеку екосистеми AI-агентів, необхідно, щоб постачальники верхніх моделей впровадили підтримку криптографічної перевірки відповідей. Лише шляхом жорсткого криптографічного зв’язування результатів моделі з командами, що виконує клієнт, можна гарантувати цілісність даних кінця в кінець і повністю запобігти ризикам підміни даних у ланцюжку поставок через ретранслятор.

Додаткові матеріали:
OpenAI використовує Mixpanel! Виникли проблеми — витік даних користувачів, обережно з фішинговими листами

Помилка копіювання — 50 мільйонів ETH зникли! Знову шахрайство з підміною адрес криптовалют — як захиститися?