¿Sigues comprando estaciones de transferencia de IA en Taobao?
El denunciante de la filtración del código fuente de Claude: al menos decenas de personas han sido envenenadas

El último estudio sobre la filtración del código fuente de Claude revela que los puntos de transferencia de IA en el mercado ocultan riesgos de seguridad. Las pruebas muestran que algunos puntos de transferencia roban credenciales, claves privadas de billeteras o inyectan código malicioso, convirtiéndose en nodos vulnerables en ataques a la cadena de suministro.

El denunciante de la filtración del código fuente de Claude revela riesgos de seguridad en los puntos de transferencia de IA

Recientemente se publicó un artículo de investigación titulado «Tu agente es mío» (Your Agent Is Mine), cuyo uno de los autores es Chaofan Shou, el primer denunciante en revelar la filtración del código fuente de Claude.

Este artículo realiza por primera vez un estudio sistemático de amenazas de seguridad en los enrutadores de API de terceros para modelos de lenguaje grande (LLM), comúnmente conocidos como puntos de transferencia, y revela que estos puntos pueden convertirse en nodos de ataque en la cadena de suministro.

¿Qué es un punto de transferencia de IA?

Debido a que llamar a LLM consume una gran cantidad de tokens, generando costos elevados de computación, los puntos de transferencia de IA pueden usar cachés para repetir preguntas y antecedentes, ayudando a los clientes a reducir significativamente los costos.

Al mismo tiempo, estos puntos tienen la función de asignar modelos automáticamente, pudiendo cambiar dinámicamente entre diferentes modelos con distintos estándares de facturación y rendimiento según la dificultad de la consulta del usuario, y cambiar automáticamente a modelos de respaldo si el servidor de un modelo se desconecta, asegurando la estabilidad del servicio en general.

Los puntos de transferencia en China son especialmente populares porque el país no puede usar directamente ciertos productos de IA extranjeros, y debido a la demanda de localización en la facturación por parte de las empresas, estos puntos se convierten en un puente importante entre los modelos upstream y los desarrolladores downstream. Plataformas como OpenRouter y SiliconFlow pertenecen a esta categoría de servicios.

Sin embargo, aunque parecen reducir costos y barreras técnicas, los puntos de transferencia esconden riesgos de seguridad muy graves.

Fuente: El artículo de investigación revela riesgos de ataques en la cadena de suministro de los puntos de transferencia de IA

Los puntos de transferencia de IA tienen acceso completo, convirtiéndose en vulnerabilidades en la cadena de suministro

El estudio indica que los puntos de transferencia operan en la capa de aplicación de la arquitectura de red, con permisos completos para leer en texto claro las cargas JSON durante la transmisión.

Debido a que entre el cliente y el proveedor del modelo upstream falta una verificación de integridad de cifrado de extremo a extremo, los puntos de transferencia pueden inspeccionar y modificar fácilmente las claves API, las instrucciones del sistema y los parámetros de salida del modelo.

El equipo de investigación señala que, ya en marzo de 2026, el enrutador de código abierto LiteLLM fue atacado mediante una confusión de dependencias, permitiendo a los atacantes inyectar código malicioso en el pipeline de procesamiento de solicitudes, evidenciando la vulnerabilidad de ese componente.

• **Informe relacionado:**Resumen del ataque de inyección en LiteLLM: ¿cómo verificar si las billeteras cifradas y las claves en la nube están comprometidas?

Pruebas muestran comportamientos maliciosos en decenas de puntos de transferencia de IA

El equipo de investigación compró 28 puntos de transferencia de pago en plataformas como Taobao, Xianyu y Shopify, y recopiló 400 puntos de transferencia gratuitos de comunidades públicas para realizar pruebas exhaustivas, y los resultados muestran que 1 punto de transferencia de pago y 8 gratuitos inyectan activamente código malicioso.

De los puntos de transferencia gratuitos, 17 intentaron usar credenciales AWS creadas por los investigadores, y 1 incluso robó criptomonedas de la billetera Ethereum de los investigadores.

Los datos también muestran que, si los puntos de transferencia reutilizan credenciales upstream comprometidas o dirigen el tráfico a nodos con menor protección, incluso los puntos aparentemente normales pueden verse involucrados en el mismo vector de ataque.

En las pruebas de infección, el equipo encontró que los nodos afectados procesaron más de 2.1 mil millones de tokens, exponiendo en 440 sesiones 99 credenciales reales, y 401 sesiones estaban en modo completamente autónomo, permitiendo a los atacantes inyectar cargas maliciosas fácilmente y sin condiciones complejas de activación.

Fuente: El artículo de investigación muestra que en las pruebas se analizaron más de 400 puntos de transferencia, detectando comportamientos maliciosos en varias decenas de ellos

Cuatro principales técnicas de ataque reveladas

El estudio clasifica las acciones maliciosas en los puntos de transferencia en dos categorías principales y dos variantes de evasión adaptativa.

• Ataque de inyección de carga: después de que el modelo upstream devuelve resultados, el punto de transferencia modifica silenciosamente los parámetros de llamada a herramientas, por ejemplo, reemplazando URLs legítimas por servidores controlados por el atacante, provocando la ejecución de código malicioso en el cliente