Claude Codeのソースコード漏洩事件の内部告発者の最新研究が明らかにし、市販のAI中継ステーションに潜むセキュリティリスクを暴露。実測により、一部の中継ステーションが証明書やウォレットの秘密鍵を盗み、悪意のあるコードを注入していることが判明し、サプライチェーン攻撃のポイントとなっている。
最近、「あなたの代理人は私のもの」(Your Agent Is Mine)という研究論文が発表され、その著者の一人は、先日最も早くClaude Codeのソースコード漏洩事件を暴露した内部告発者Chaofan Shouである。
この論文は、初めて大規模言語モデル(LLM)のサードパーティAPIルーター、いわゆる中継ステーションについて体系的なセキュリティ脅威の研究を行い、こうした中継ステーションがサプライチェーン攻撃のポイントとなり得ることを明らかにした。
LLMの呼び出しには大量のトークンが消費され、高額な計算コストが発生するため、AI中継ステーションはキャッシュを利用して繰り返しの問題背景説明を行うことで、顧客のコストを大幅に削減できる。
また、中継ステーションはモデルの自動割り当て機能を持ち、ユーザーの問題の難易度に応じて異なる課金基準や性能のモデルを動的に切り替え、単一モデルサーバーの切断時には自動的に予備モデルに切り替えて、サービスの接続を安定させる。
**中国では特に中継ステーションが盛んである。理由は、同国では特定の海外AI製品を直接利用できず、企業の課金のローカライズニーズもあるため、上流のモデルと下流の開発者をつなぐ重要な橋渡し役となっている。**OpenRouterやSiliconFlowなどのプラットフォームもこのサービス範疇に含まれる。
しかし、一見コスト削減と技術的ハードルの低減を実現しているように見える中継ステーションの背後には、非常に大きなセキュリティリスクが潜んでいる。
図源:研究論文 AI中継ステーションのサプライチェーン攻撃リスクを暴露
論文は、中継ステーションはネットワークアーキテクチャのアプリケーション層で動作し、伝送中のJSONペイロードデータに対して完全な平文読み取り権限を持つと指摘している。
クライアントと上流モデル供給者間にはエンドツーエンドの暗号化完全性検証が欠如しているため、中継ステーションはAPIキーやシステムプロンプト、モデル出力のツール呼び出しパラメータを容易に閲覧・改ざんできる。
研究チームは、2026年3月に有名なオープンソースルーターLiteLLMが依存性の混乱攻撃を受け、攻撃者が悪意のあるコードをリクエスト処理パイプラインに注入できる脆弱性を指摘している。
**研究チームは淘宝(Taobao)、閒魚(Xianyu)、Shopifyなどのプラットフォームから28の有料中継ステーションを購入し、公開コミュニティから収集した400の無料中継ステーションを対象に深度テストを実施した。**その結果、1つの有料中継ステーションと8つの無料中継ステーションが積極的に悪意のあるコードを注入していることが判明した。
無料中継ステーションのサンプルでは、17の中継ステーションが研究者が構築したAWSの誘導証明書を使用しようと試み、さらに1つの中継ステーションは研究者のEthereumウォレット内の暗号資産を直接盗み出した。
データは、外部漏洩した上流証明書を繰り返し使用したり、流量をセキュリティが弱いノードに誘導したりするだけで、正常に見える中継ステーションも攻撃の対象となることを示している。
研究チームの毒性テストでは、こうした被害を受けたノードは合計で21億以上のトークンを処理し、440のセッションで99の実証証明書を露呈、さらに401のセッションは完全に自律運用状態にあり、攻撃者は複雑なトリガー条件なしに悪意の負荷を直接注入できることが判明した。
図源:研究論文 実測で400以上の中継ステーションを調査、数十のAI中継ステーションに悪意の行動が確認された
論文は、悪意のある中継ステーションの攻撃行動を、二つの主要なカテゴリと二つの適応回避バリアントに分類している。
攻撃者は、通常のセキュリティ検査を回避するために、依存性のターゲット注入手法を進化させており、ソフトウェアパッケージのインストールコマンド内のパッケージ名を改ざんし、正規のパッケージを公開レジストリに登録された同名または紛らわしい悪意のあるパッケージに置き換えることで、ターゲットシステムに持続的なサプライチェーンのバックドアを構築している。
もう一つは条件式配信手法で、特定の条件下でのみ悪意の行動を発動させる。例えば、リクエスト回数が50回を超えた場合や、システムが完全自律運用(YOLOモード)にあると検知した場合に攻撃を開始し、セキュリティの制限を回避している。
AI中継の投毒サプライチェーン攻撃に対抗するため、論文は以下の三つの防御策を提案している。
クライアント側の防御策は現段階で一部リスクを低減できるが、根本的な送信者の身元検証の脆弱性は解決できない。中継ステーションの改ざん行為がクライアントの異常警報を引き起こさなければ、攻撃者は容易にプログラムの意味を変更し、破壊行為を行える。
AIエコシステムの安全性を徹底的に確保するには、最終的に上流のモデル供給者が暗号学的検証をサポートする応答メカニズムを提供する必要がある。モデルの出力結果とクライアント側の最終実行コマンドを厳格に暗号的に結びつけることで、エンドツーエンドのデータ完全性を保証し、中継ステーションによるデータ改ざんのサプライチェーンリスクを全面的に防止できる。
関連記事: OpenAIが使用するMixpanelの問題!一部ユーザの個人情報漏洩、フィッシングメールに注意
誤ったコピペで5千万ドル蒸発!暗号アドレスの毒入り詐欺再燃、どう防ぐか
265.23K 人気度
970.52K 人気度
30.49K 人気度
195.5K 人気度
761.23K 人気度
まだ淘宝でAI中継ステーションを購入していますか?Claude Codeのソースコード流出の内部告発者:少なくとも数十人が毒を盛られた
Claude Codeのソースコード漏洩事件の内部告発者の最新研究が明らかにし、市販のAI中継ステーションに潜むセキュリティリスクを暴露。実測により、一部の中継ステーションが証明書やウォレットの秘密鍵を盗み、悪意のあるコードを注入していることが判明し、サプライチェーン攻撃のポイントとなっている。
Claude Codeのソースコード漏洩内部告発者、AI中継ステーションのセキュリティリスクを暴露
最近、「あなたの代理人は私のもの」(Your Agent Is Mine)という研究論文が発表され、その著者の一人は、先日最も早くClaude Codeのソースコード漏洩事件を暴露した内部告発者Chaofan Shouである。
この論文は、初めて大規模言語モデル(LLM)のサードパーティAPIルーター、いわゆる中継ステーションについて体系的なセキュリティ脅威の研究を行い、こうした中継ステーションがサプライチェーン攻撃のポイントとなり得ることを明らかにした。
AI中継ステーションとは何か?
LLMの呼び出しには大量のトークンが消費され、高額な計算コストが発生するため、AI中継ステーションはキャッシュを利用して繰り返しの問題背景説明を行うことで、顧客のコストを大幅に削減できる。
また、中継ステーションはモデルの自動割り当て機能を持ち、ユーザーの問題の難易度に応じて異なる課金基準や性能のモデルを動的に切り替え、単一モデルサーバーの切断時には自動的に予備モデルに切り替えて、サービスの接続を安定させる。
**中国では特に中継ステーションが盛んである。理由は、同国では特定の海外AI製品を直接利用できず、企業の課金のローカライズニーズもあるため、上流のモデルと下流の開発者をつなぐ重要な橋渡し役となっている。**OpenRouterやSiliconFlowなどのプラットフォームもこのサービス範疇に含まれる。
しかし、一見コスト削減と技術的ハードルの低減を実現しているように見える中継ステーションの背後には、非常に大きなセキュリティリスクが潜んでいる。
図源:研究論文 AI中継ステーションのサプライチェーン攻撃リスクを暴露
AI中継ステーションは完全アクセス権を持ち、サプライチェーン攻撃の脆弱性となる
論文は、中継ステーションはネットワークアーキテクチャのアプリケーション層で動作し、伝送中のJSONペイロードデータに対して完全な平文読み取り権限を持つと指摘している。
クライアントと上流モデル供給者間にはエンドツーエンドの暗号化完全性検証が欠如しているため、中継ステーションはAPIキーやシステムプロンプト、モデル出力のツール呼び出しパラメータを容易に閲覧・改ざんできる。
研究チームは、2026年3月に有名なオープンソースルーターLiteLLMが依存性の混乱攻撃を受け、攻撃者が悪意のあるコードをリクエスト処理パイプラインに注入できる脆弱性を指摘している。
実測で数十のAI中継ステーションに悪意の行動が確認
**研究チームは淘宝(Taobao)、閒魚(Xianyu)、Shopifyなどのプラットフォームから28の有料中継ステーションを購入し、公開コミュニティから収集した400の無料中継ステーションを対象に深度テストを実施した。**その結果、1つの有料中継ステーションと8つの無料中継ステーションが積極的に悪意のあるコードを注入していることが判明した。
無料中継ステーションのサンプルでは、17の中継ステーションが研究者が構築したAWSの誘導証明書を使用しようと試み、さらに1つの中継ステーションは研究者のEthereumウォレット内の暗号資産を直接盗み出した。
データは、外部漏洩した上流証明書を繰り返し使用したり、流量をセキュリティが弱いノードに誘導したりするだけで、正常に見える中継ステーションも攻撃の対象となることを示している。
研究チームの毒性テストでは、こうした被害を受けたノードは合計で21億以上のトークンを処理し、440のセッションで99の実証証明書を露呈、さらに401のセッションは完全に自律運用状態にあり、攻撃者は複雑なトリガー条件なしに悪意の負荷を直接注入できることが判明した。
図源:研究論文 実測で400以上の中継ステーションを調査、数十のAI中継ステーションに悪意の行動が確認された
四大攻撃手法の公開
論文は、悪意のある中継ステーションの攻撃行動を、二つの主要なカテゴリと二つの適応回避バリアントに分類している。
攻撃者は、通常のセキュリティ検査を回避するために、依存性のターゲット注入手法を進化させており、ソフトウェアパッケージのインストールコマンド内のパッケージ名を改ざんし、正規のパッケージを公開レジストリに登録された同名または紛らわしい悪意のあるパッケージに置き換えることで、ターゲットシステムに持続的なサプライチェーンのバックドアを構築している。
もう一つは条件式配信手法で、特定の条件下でのみ悪意の行動を発動させる。例えば、リクエスト回数が50回を超えた場合や、システムが完全自律運用(YOLOモード)にあると検知した場合に攻撃を開始し、セキュリティの制限を回避している。
三つの有効な防御策
AI中継の投毒サプライチェーン攻撃に対抗するため、論文は以下の三つの防御策を提案している。
上流モデル供給者に暗号学的検証機能の構築を促す
クライアント側の防御策は現段階で一部リスクを低減できるが、根本的な送信者の身元検証の脆弱性は解決できない。中継ステーションの改ざん行為がクライアントの異常警報を引き起こさなければ、攻撃者は容易にプログラムの意味を変更し、破壊行為を行える。
AIエコシステムの安全性を徹底的に確保するには、最終的に上流のモデル供給者が暗号学的検証をサポートする応答メカニズムを提供する必要がある。モデルの出力結果とクライアント側の最終実行コマンドを厳格に暗号的に結びつけることで、エンドツーエンドのデータ完全性を保証し、中継ステーションによるデータ改ざんのサプライチェーンリスクを全面的に防止できる。
関連記事:
OpenAIが使用するMixpanelの問題!一部ユーザの個人情報漏洩、フィッシングメールに注意
誤ったコピペで5千万ドル蒸発!暗号アドレスの毒入り詐欺再燃、どう防ぐか