El equipo de investigación de la Universidad de California publicó el jueves un documento que registra por primera vez de forma sistemática los ataques de intermediario malicioso contra la cadena de suministro de grandes modelos de lenguaje (LLM), revelando importantes brechas de seguridad de terceros en el ecosistema de agentes de IA. El coautor del artículo, Shu Chaofan, declaró en X directamente: «26 enrutadores de LLM están inyectando en secreto llamadas a herramientas maliciosas y robando credenciales». El estudio llevó a cabo pruebas sobre 28 enrutadores de pago y 400 enrutadores gratuitos.
Hallazgos centrales de la investigación: la ventaja de posicionamiento de los enrutadores maliciosos en el tráfico de agentes de IA
(Fuente:arXiv)
Las características de la arquitectura de los agentes de IA los hacen depender naturalmente de enrutadores de terceros: el agente agrega solicitudes de acceso a proveedores de modelos upstream como OpenAI, Anthropic y Google mediante intermediación a través de la API. El problema clave es que estos enrutadores terminan las conexiones de cifrado TLS (seguridad de la capa de transporte) a Internet y leen cada mensaje transmitido en texto plano, incluidas las parametrizaciones completas y el contenido contextual de las llamadas a herramientas.
Los investigadores implantaron claves privadas de billeteras cifradas y credenciales de AWS en enrutadores señuelo, para rastrear cuándo eran accedidas y utilizadas.
Datos clave de los resultados de las pruebas
9 enrutadores inyectaron código malicioso de forma activa: incrustación de instrucciones no autorizadas en el flujo de llamadas a herramientas de agentes de IA
2 enrutadores desplegaron evasión de disparadores adaptativa: ajuste dinámico del comportamiento para eludir la detección básica de seguridad
17 enrutadores accedieron a las credenciales AWS de los investigadores: amenaza directa para servicios cloud de terceros
1 enrutador completó el robo de ETH: transferencia real de ether desde la clave privada en posesión de los investigadores, completando la cadena de ataque completa
Los investigadores realizaron simultáneamente dos «investigaciones sobre envenenamiento», y los resultados muestran que incluso un enrutador que antes había funcionado normalmente, una vez reutilizado como retransmisión débil con credenciales filtradas, podría convertirse en una herramienta de ataque sin que los operadores lo sepan.
Por qué es difícil de detectar: la invisibilidad del límite de credenciales y el riesgo del modo YOLO
El artículo señala la principal dificultad de detección: «Para el cliente, el límite entre “tratamiento de credenciales” y “robo de credenciales” es invisible, porque el enrutador ya lee las llaves en texto plano durante el proceso normal de reenvío». Esto significa que ingenieros que desarrollan contratos inteligentes o billeteras usando agentes de codificación con IA como Claude Code, si no toman medidas de aislamiento, harán que las llaves privadas y las frases mnemónicas fluyan a través de enrutadores maliciosos siguiendo un flujo de operaciones totalmente compatible con lo esperado.
Otro factor que amplifica el riesgo es el «modo YOLO» al que se refieren los investigadores: en la mayoría de los marcos de agentes de IA, existe una configuración que permite que el agente ejecute instrucciones automáticamente sin confirmación paso a paso por parte del usuario. En este modo, el agente manipulado por el enrutador malicioso puede completar llamadas a contratos maliciosos o transferencias de activos sin que el usuario reciba avisos; el alcance del daño va mucho más allá de un simple robo de credenciales.
El artículo concluye: «Los enrutadores de la API de LLM están en un límite de confianza clave, y este ecosistema actualmente los trata como una transmisión transparente».
Recomendaciones de defensa: prácticas a corto plazo y direcciones de arquitectura a largo plazo
Los investigadores recomiendan que los desarrolladores cifren de inmediato y adopten las siguientes medidas: las llaves privadas, las frases mnemónicas y las credenciales de API sensibles nunca deben transmitirse en las conversaciones de agentes de IA; al elegir enrutadores, se debe priorizar un servicio que tenga registros de auditoría transparentes y una infraestructura clara; si es posible, se deben aislar por completo las operaciones sensibles del flujo de trabajo de agentes de IA.
A largo plazo, los investigadores piden que las empresas de IA firmen con cifrado las respuestas del modelo, para que el cliente pueda verificar matemáticamente que las instrucciones que ejecuta el agente provienen de un modelo upstream legítimo y no de una versión maliciosa alterada por enrutadores intermedios.
Preguntas frecuentes
¿Por qué los enrutadores de agentes de IA pueden acceder a llaves privadas y frases mnemónicas?
Los enrutadores LLM terminan las conexiones cifradas TLS y leen, en texto plano, todo el contenido transmitido en la conversación del agente. Si los desarrolladores usan un agente de IA para tareas que involucran llaves privadas o frases mnemónicas, estos datos sensibles serán completamente visibles a nivel de enrutador, permitiendo que un enrutador malicioso los intercepte fácilmente sin activar ninguna alarma anómala.
¿Cómo determinar si el enrutador que se está usando es seguro?
Los investigadores señalan que «el tratamiento de credenciales» y «el robo de credenciales» son casi invisibles para el cliente, lo que hace la detección extremadamente difícil. La recomendación fundamental es impedir a nivel de diseño que las llaves privadas y las frases mnemónicas entren en cualquier flujo de trabajo de agentes de IA, en lugar de depender de mecanismos de detección del backend, y priorizar servicios de enrutador que cuenten con registros transparentes de auditoría de seguridad.
¿Qué es el modo YOLO y por qué agrava los riesgos de seguridad?
El modo YOLO es una configuración en los marcos de agentes de IA que permite que el agente ejecute instrucciones automáticamente, sin necesidad de confirmación paso a paso por parte del usuario. En este modo, si el tráfico del agente pasa por un enrutador malicioso, las instrucciones maliciosas inyectadas por el atacante serán ejecutadas automáticamente por el agente; el alcance del daño puede ampliarse desde el robo de credenciales hasta operaciones maliciosas automatizadas, y el usuario no puede detectar ninguna anomalía antes de la ejecución.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
El dominio eth.limo fue secuestrado; EasyDNS admite su primer ataque de ingeniería social en 28 años
El dominio eth.limo sufrió un secuestro de DNS el 17 de abril; el atacante, haciéndose pasar por un miembro del equipo, logró inducir con éxito al registrador de dominios EasyDNS a ejecutar la recuperación de la cuenta. Aunque este incidente no afectó a los usuarios, porque el atacante no obtuvo la clave de DNSSEC y no pudo eludir la cadena de confianza. Este incidente puso de manifiesto el riesgo de ingeniería social en el ámbito de la seguridad criptográfica y motivó a eth.limo a cambiar a un servicio Domainsure que no admite la recuperación de cuentas, para mejorar la seguridad.
MarketWhisperhace1h
Vitalik confirma su participación en una charla en Hong Kong; las aplicaciones de IA y el ecosistema ZK de Ethereum serán el foco central
Vitalik Buterin y la presidenta de la Fundación Ethereum, Aya Miyaguchi, asistirán al acto de inauguración del Hong Kong Ethereum Community Center (ETH HK Hub) el 21 de abril. Se trata del primer espacio comunitario presencial en Asia apoyado por la Fundación, y se centrará en temas como la tecnología ZK, la computación privada y la integración entre la IA y la cadena de bloques. Vitalik propuso un marco de integración de IA para Ethereum, que destaca la aceleración defensiva, y garantiza la agencia humana en la era de la IA, fomentando el desarrollo coordinado entre la cadena de bloques y la IA.
MarketWhisperhace2h
Ballena vinculada a Matrixport abre una posición larga de $100M ETH con 44.000 ETH
Una ballena vinculada a Matrixport ha abierto una posición larga de 44.000 ETH, valorada en aproximadamente $100 millones, lo que indica un fuerte sentimiento alcista hacia Ethereum, según informó Lookonchain.
GateNewshace2h
ETH cae un 0,69% en 15 minutos: salidas de grandes transferencias en cadena provocan una sincronización de presión vendedora en spot
2026-04-19 22:00 至 2026-04-19 22:15(UTC)期间,ETH价格自2275.98 USDT下滑至2252.72 USDT,15分钟内收益率为-0.69%,振幅达到1.02%。本轮异动期间市场短线波动加剧,主流币种关注度上升,交易活跃度提升,波动明确偏空。
本次异动的主要驱动力是链上频繁且体量突出的ETH大额转账集中发生。以某知名热钱包为枢纽,短时向外转出超2万E
GateNewshace5h
ETH cae 0.56% en 15 minutos: la entrada y salida de ETF institucionales y la liquidez on-chain más ajustada dominan la tendencia
2026-04-19 17:45 a 18:00(UTC),el precio de ETH registró un rendimiento de -0.56% en un periodo de 15 minutos, cerrando en el rango de 2294.03 - 2311.0 USDT, con una amplitud del 0.73%. La volatilidad del mercado se intensificó, lo que provocó una mayor actividad de trading a corto plazo y un aumento del interés; en general, el desempeño de la liquidez se ajustó.
El principal motor de esta desviación es el flujo de entrada y salida a corto plazo de los fondos de los ETF institucionales y la actividad baja de stablecoins on-chain. A principios de abril, tras registrar en poco tiempo 120.24 millones de dólares de entrada neta el ETF spot de ETH, pasó rápidamente a 64.61 millones de dólares de salida neta
GateNewshace9h
ETH rompe por debajo de 2300 USDT
Mensaje del bot de noticias de Gate; según el estado del mercado de Gate, ETH rompe por debajo de 2300 USDT y su precio actual es 2299.54 USDT.
CryptoRadarhace10h
