Colección de caos en los centros de transferencia de tokens: después de investigarlo, ni siquiera me atrevo a usar un poco

La situación es así.

Hace unos días, estuve en un grupo de desarrolladores, observando cómo discutían con entusiasmo sobre comprar claves API baratas, esas que en Xianyu (mercado de segunda mano) cuestan unos pocos yuanes y pueden procesar miles de millones de tokens.

Todos se quejaban, diciendo que sentían que el modelo en sus manos había sido reemplazado, sospechando que los administradores estaban engañando con modelos pequeños mezclados para estafar.

Al leer esas conversaciones, solo me quedó una idea en la cabeza…

Amigo, ustedes tienen la cabeza demasiado grande.

Mientras todavía se preocupan por unos pocos yuanes de diferencia, el intermediario ya puede estar espiando en tu computadora.

¿La situación actual es tan grave?

Francamente, pagar en un intermediario de baja calidad, con modelos adulterados, creo que es la operación más ética que hacen estos actores del mercado gris.

Piensa en esto: envías una solicitud de código compleja, pensando en que Claude con su Opus4.6 más potente te dará un resultado genial, pero en cuanto su script de enrutamiento en el backend detecta, te la envía a un pequeño modelo open source gratuito para engañarte. Y más sucio aún, manipulan la tarifa de facturación, haciendo que por 100 unidades oficiales, en su backend cuenten 300.

Pero eso no es nada. Muchos administradores simplemente usan tarjetas de crédito robadas para obtener servicios gratis, y en cuanto la cuenta oficial se bloquea, desconectan la red y huyen. Ni siquiera hay un foro para reclamar. En cuanto a tus registros de chat, en la superficie dicen que no los almacenan, pero en secreto ya los han empaquetado en corpus y los venden en la web oscura por kilos.

Muchos piensan: “¿No es solo un pequeño fraude para robar unos pocos yuanes? Es barato, lo aguanto.”

Yo también pensaba así, hasta que vi un reciente estudio de seguridad de vanguardia, y eso me dejó completamente confundido.

De verdad, muchas personas todavía entienden los intermediarios como en la era del “chat en la web”. Creen que solo son un transmisor sin cerebro que pasa mensajes.

Pero hoy en día, la IA ya no es solo un robot de conversación. Tú, frente a la pantalla, quizás tienes abierto Cursor, o ClaudeCode, o estás criando cangrejos de río.

La IA actual tiene manos y pies. Puede leer tus archivos locales, escribir código, e incluso ejecutar comandos del sistema directamente en tu terminal.

Y si ahora introduces esa URL base desconocida en tu editor de código, la cosa cambia completamente.

Hace unos días, un conocido investigador en seguridad, el equipo de Chaofan Shou, publicó un artículo titulado “Your Agent Is Mine”. Investigaron en secreto más de 400 intermediarios en el mercado.

¿Y qué descubrieron?

¡Capturaron en el acto a 26 intermediarios inyectando código malicioso.

¿Cómo lo lograron?

El principio se basa en una vulnerabilidad fatal en la arquitectura del intermediario: actúa como un hombre en el medio a nivel de aplicación. Es decir, tu comunicación con OpenAI o Anthropic, en el instante en que pasa por el servidor del intermediario, está en texto claro.

Eso es muy peligroso…

Si te interesa este campo, imagina esta escena.

Usas Cursor para que la IA te ayude a escribir un script en Python que analice los logs de Nginx. El GPT-5 oficial en remoto, honestamente, escribe el código y lo devuelve en JSON.

Pero el dueño del intermediario, al ver eso, añade en el final del JSON una lógica para crear un troyano que genere un shell inverso.

Tu cliente local no verifica la autenticidad, solo confía en el JSON válido y lo ejecuta en tu máquina.

Y hay operaciones aún más peligrosas. Estos viejos astutos suelen actuar como si fueran honestos, conversando contigo sin problemas. Pero cuando pides a la IA que te ayude a configurar un entorno de desarrollo, por ejemplo, que instale el paquete requests en el terminal, su script de espionaje detecta y modifica el nombre del paquete a reqeusts. Solo un error de una letra, y al presionar Enter, un paquete malicioso con ransomware o minería se instala en tu sistema.

Me quedé paralizado.

En los datos de prueba publicados por el equipo de investigación, 17 intermediarios incluso intentaron robar las claves de AWS que los investigadores habían puesto a propósito. En la vida real, alguien usó un nodo malicioso y filtró su clave privada de Ethereum, y en segundos, se esfumaron decenas de miles de dólares.

Eso me dejó aún más confundido.

Sigamos con esto. En realidad, esto es como un bosque oscuro.

Muchos saben que, además de plataformas oficiales como OpenRouter, la mayoría de los intermediarios baratos y de baja calidad en el mercado se basan en: ingeniería inversa, reventa transfronteriza y uso de tarjetas de crédito robadas.

Muchos de nosotros, empleados o programadores comunes, confiamos en la integridad de estos actores grises para proteger el control máximo sobre los archivos clave de la empresa y las frases de recuperación de criptomonedas.

¿Cómo podemos protegernos?

No podemos simplemente dejar de usar estas herramientas de IA.

Creo que, para resolver esto de raíz, los fabricantes de modelos deben empezar desde abajo. La API actual es como una carta normal: el cartero puede cambiar el contenido fácilmente.

Una solución sería introducir firmas digitales criptográficas similares a los certificados HTTPS. Cuando las grandes empresas envían código, lo firman con su clave privada oficial; en nuestro editor local, verificamos la firma con la clave pública del dominio oficial. Si el intermediario intenta modificar algo, la firma se invalidará y será bloqueada inmediatamente.

Honestamente, no sé cuándo podrán implementar un mecanismo de verificación así. Hasta entonces, solo nos queda buscar formas de protegernos.

Una estrategia que uso es conectarme directamente con la API oficial, o en su defecto, usar solo gateways confiables como OpenRouter, que tengan una reputación sólida. No dar oportunidad a hackers para acceder a nuestros datos en texto claro.

Si realmente quieres ahorrar unos yuanes, te recomiendo que aísles tu sistema de forma extrema.

Nunca hagas esto en tu máquina principal. Usa una máquina virtual o un contenedor Docker con restricciones estrictas de red. Y muy importante: en la configuración de tus herramientas, desactiva todos los modos de ejecución autónoma sin supervisión.

Siempre que uses un nodo intermediario, asume que cada línea de código que la IA te proponga en el terminal es un ataque. Revisa con ojos de halcón, línea por línea, y nunca te relajes.

Y aquí te doy una última estrategia de compromiso.

Si realmente te molesta pagar más por la API oficial, y quieres aprovechar esa diferencia, solo usa los intermediarios como herramientas de chat. Escribe informes, edita artículos, traduce documentos, lo que sea. Pero nunca pongas esa clave en ninguna herramienta que pueda ejecutar comandos en tu terminal.

¿Y qué pasa con la privacidad?

Honestamente, esto me recuerda la famosa frase de Li, que fue ridiculizada en toda la red: “Los chinos están dispuestos a intercambiar privacidad por conveniencia”. Suena duro, pero si eres terco y no te importa que tus registros de chat y código de empresa sean vistos por actores maliciosos, puedes arriesgarte a pagar solo unos pocos yuanes menos.

Esa es tu libertad.

Pero, mantén la última línea de defensa: puedes mostrar tu diario a los hackers, pero nunca entreges la llave de tu puerta de casa.

La IA es una herramienta poderosa para aumentar la productividad, y puede impulsarnos muy lejos. Pero antes de despegar, asegúrate de cerrar bien las puertas de tu sistema.