Дослідники виявили зловмисні маршрутизатори агентів ШІ, які здатні красти криптовалюту

Дослідники з Каліфорнійського університету виявили, що деякі маршрутизатори великих мовних моделей (LLM) від третіх сторін можуть становити загрозу безпеці, що може призвести до крадіжки криптовалюти.

У науковій статті, присвяченій атакам через зловмисні проміжні ланки в ланцюгу постачання LLM, опублікованій в четвер, були виявлені чотири вектори атаки, зокрема введення зловмисного коду та витягнення облікових даних. Автор статті Чаофан Шу зазначив, що 26 маршрутизаторів LLM таємно впроваджують зловмисні виклики інструментів і крадуть облікові дані.

Через маршрутизатори, що агрегують доступ до таких постачальників, як OpenAI, Anthropic та Google, поступають запити на кодування.

Проблема полягає в тому, що ці маршрутизатори розривають з'єднання TLS і мають доступ до всіх повідомлень у відкритому вигляді. Дослідники протестували 28 платних та 400 безкоштовних маршрутизаторів, з яких дев'ять активно впроваджували зловмисний код, а двоє використовували тригери для ухилення.

В одному з випадків зловмисник drained Ether ($ETH) з приватного ключа дослідника.

Вони вказали, що вартість втрат у експерименті становила менше 50 доларів, хоча деталі транзакцій не були розкриті. Дослідники виявили, що важко виявити, чи є маршрутизатор зловмисним, оскільки межа між "обробкою облікових даних" і "крадіжкою облікових даних" невидима для клієнта.

Вони також згадали про режим "YOLO", коли агент виконує команди автоматично без підтвердження користувача.

Фахівці рекомендують розробникам посилити захист на стороні клієнта, зокрема, уникати передачі приватних ключів або seed-фраз через сесії AI-агентів.

Довгострокове рішення полягає в тому, щоб компанії з розробки AI криптографічно підписували свої відповіді, щоб команди, які виконує агент, могли бути математично перевірені.