Все еще покупаете AI-центр на Таобао? Информатор о утечке исходного кода Claude Code: как минимум десятки были отравлены

Расследование утечки исходного кода Claude Code раскрывает, что внутренние AI-ретрансляторы скрывают угрозы безопасности. Практическое тестирование выявило, что некоторые ретрансляторы могут похищать учетные данные, приватные ключи кошельков или внедрять вредоносный код, становясь узлами цепочки поставок атак.

Расследование утечки исходного кода Claude Code выявляет риски безопасности AI-ретрансляторов

Недавно опубликована исследовательская статья «Твой агент — мой» (Your Agent Is Mine), одним из авторов которой является Чаофан Шоу, ранее раскрывавший инцидент утечки исходного кода Claude Code.

В статье впервые систематически исследуются угрозы безопасности третьих сторон API маршрутизаторов крупных языковых моделей (LLM), так называемых ретрансляторов, и раскрывается, что такие узлы могут стать точками цепочки поставок для атак.

Что такое AI-ретранслятор?

Поскольку вызов LLM потребляет большое количество токенов и ведет к высоким затратам на вычисления, AI-ретрансляторы используют кэширование повторяющихся вопросов и контекстов, что значительно помогает клиентам экономить.

Кроме того, у ретрансляторов есть функция автоматического распределения моделей, которая динамически переключает между моделями с разными тарифами и производительностью в зависимости от сложности вопроса пользователя, а также автоматически переключается на резервную модель при сбое основного сервера, обеспечивая стабильность сервиса.

Ретрансляторы особенно популярны в Китае, поскольку в стране невозможно напрямую использовать некоторые зарубежные AI-продукты, а также из-за потребности компаний в локализации расчетов. Поэтому ретрансляторы становятся важным мостом между upstream-моделями и downstream-разработчиками. В их число входят платформы, такие как OpenRouter и SiliconFlow.

Однако, несмотря на кажущуюся низкую стоимость и снижение технических барьеров, за этим скрываются огромные риски безопасности.

Источник: исследовательская статья раскрывает риски цепочки поставок атак на AI-ретрансляторы

AI-ретрансляторы имеют полный доступ, становясь уязвимыми для цепочек атак

В статье отмечается, что ретрансляторы работают на уровне приложений в сетевой архитектуре и имеют полный доступ к незашифрованным данным JSON, передаваемым в процессе.

Поскольку между клиентом и upstream-поставщиком модели отсутствует полноценная проверка целостности с помощью сквозного шифрования, ретрансляторы могут легко просматривать и изменять API-ключи, системные подсказки и параметры вызова модели.

Исследовательская команда указывает, что еще в марте 2026 года известный open-source маршрутизатор LiteLLM подвергся атаке с использованием зависимости, что позволило злоумышленникам внедрять вредоносный код в обработку запросов, подчеркивая уязвимость этого компонента.

• **Связанные новости:**Обзор инцидента с LiteLLM: как проверить, не скомпрометированы ли криптокошельки и облачные ключи?

Практическое тестирование десятков AI-ретрансляторов выявило вредоносное поведение

Команда провела глубокое тестирование 28 платных ретрансляторов, приобретенных на платформах Таобао, Сяньюй и Shopify, а также собрала 400 бесплатных ретрансляторов из открытых сообществ. В результате обнаружено, что один платный и восемь бесплатных ретрансляторов активно внедряли вредоносный код.

В образцах бесплатных ретрансляторов 17 пытались использовать подставленные исследователями AWS-учетные данные, а один из них прямо похитил криптовалюту с Ethereum-кошелька исследователей.

Дальнейшие данные показывают, что повторное использование скомпрометированных upstream-учетных данных или перенаправление трафика на менее защищенные узлы приводит к тому, что даже казавшиеся безопасными ретрансляторы оказываются вовлеченными в одни и те же атаки.

В ходе тестов на заражение было обнаружено, что эти узлы обработали более 2,1 миллиарда токенов, в 440 сессиях было раскрыто 99 реальных учетных данных, а 401 сессия работала полностью автономно, что позволяет злоумышленникам легко внедрять вредоносные нагрузки без сложных условий активации.

Источник: исследовательская статья — тестирование более 400 ретрансляторов, выявлены десятки с вредоносным поведением

Четыре основные метода атак раскрыты

В статье атаки вредоносных ретрансляторов классифицированы в две основные категории и две вариации адаптивных обходов.

• Инъекции нагрузки: После получения результата от upstream-модели, ретранслятор тайно изменяет параметры вызова, например, заменяет легитимный URL на сервер злоумышленника, что приводит к выполнению вредоносного кода на клиенте.
• Утечка конфиденциальных данных: Ретранслятор пассивно сканирует передаваемый трафик, перехватывает и похищает API-ключи, учетные данные AWS и приватные ключи Ethereum.

Чтобы избежать обнаружения стандартными средствами защиты, злоумышленники развили технику инъекции зависимостей, подменяя имена пакетов в командах установки программного обеспечения на заранее подготовленные вредоносные аналоги, совпадающие по названию или вызывающие путаницу с легитимными пакетами из публичных репозиториев, создавая устойчивые цепочки поставок.

Еще одна тактика — условная доставка вредоносных компонентов, при которой атака активируется только при выполнении определенных условий, например, при превышении 50 запросов или обнаружении режима полной автономной работы (YOLO), что помогает обойти ограничения по безопасности.

Три возможных меры защиты

В ответ на цепочные атаки с подменой в AI-ретрансляторах в статье предложены три меры защиты:

• Политика контроля для инструментов высокого риска: проверка и блокировка несанкционированных доменов или команд установки пакетов, что с ошибкой менее 1% предотвращает большинство инъекций нагрузки.
• Механизм обнаружения аномалий на стороне ответа: при ошибке около 6,7% он способен выявить 89% вредоносных образцов, помогая разработчикам проводить ручную проверку.
• Дополнительные журналы прозрачности: хотя они не предотвращают атаки, сохраняют хеши запросов и ответов для последующего анализа и оценки ущерба при инцидентах.

Призыв к upstream-поставщикам внедрять криптографическую проверку

Хотя клиентские механизмы защиты в настоящее время снижают некоторые риски, они не устраняют корень проблемы — уязвимость аутентификации источника. Пока изменения в ретрансляторе не вызывают тревоги у клиента, злоумышленники могут легко изменить смысл выполнения программы и нанести вред.

Для полноценной защиты экосистемы AI-агентов необходимо, чтобы upstream-поставщики внедрили механизмы криптографической аутентификации ответов. Только связывая результаты модели с командами, выполняемыми на клиенте, с помощью строгого шифрования, можно обеспечить целостность данных и полностью исключить риск подмены данных цепочкой поставок.

Дополнительные материалы:
OpenAI использует Mixpanel — произошел инцидент! В результате утекли личные данные некоторых пользователей, будьте осторожны с фишинговыми письмами

Ошибка копирования и вставки — 50 миллионов долларов исчезли! Вновь появились мошеннические схемы с подменой адресов криптовалют, как их предотвратить