ผู้ก่อตั้ง Solayer @Fried_rice เมื่อวันที่ 10 เมษายน ได้โพสต์บนโซเชียลมีเดีย โดยเปิดเผยว่ามีช่องโหว่ด้านความปลอดภัยอย่างเป็นระบบในตัว “เราเตอร์” API บุคคลที่สามซึ่งตัวแทน LLM (large language model) จำนวนมากใช้งานอย่างแพร่หลาย การทดสอบครอบคลุมเราเตอร์ 428 เครื่อง พบว่ามากกว่า 20% มีพฤติกรรมที่เป็นอันตรายหรือความเสี่ยงต่อความปลอดภัยในระดับต่าง ๆ โดยหนึ่งในนั้นสามารถขโมย ETH ได้จริงจากคีย์ส่วนตัวที่นักวิจัยถืออยู่
วิธีการวิจัยและข้อค้นพบหลัก: การทดสอบความปลอดภัยของเราเตอร์ 428 เครื่อง
ทีมวิจัยทดสอบเราเตอร์แบบชำระเงิน 28 เครื่องที่ซื้อจาก Taobao, Xianyu และเว็บสแตนด์อโลนของ Shopify รวมถึงเราเตอร์ฟรี 400 เครื่องที่เก็บรวบรวมจากชุมชนสาธารณะ วิธีการทดสอบคือการฝัง “เหยื่อ” ลงในเราเตอร์ ซึ่งประกอบด้วยข้อมูลล่อที่มี AWS Canary credentials และกุญแจส่วนตัวของสกุลเงินดิจิทัล โดยติดตามว่าเราเตอร์ใดเข้าถึงหรือใช้งานข้อมูลอ่อนไหวเหล่านี้โดยตรง
ข้อมูลสำคัญจากผลการทดสอบ
การฉีดร้ายแบบเชิงรุก: เราเตอร์แบบชำระเงิน 1 เครื่อง และเราเตอร์ฟรี 8 เครื่องกำลังฉีดโค้ดที่เป็นอันตรายอย่างแข็งขัน
กลไกการหลีกเลี่ยงแบบปรับตัว: มีเราเตอร์ 2 เครื่องที่ติดตั้งตัวกระตุ้นแบบปรับตัวซึ่งสามารถหลีกเลี่ยงการตรวจจับพื้นฐานได้
การเข้าถึงข้อมูลประจำตัวอย่างผิดปกติ: เราเตอร์ 17 เครื่องเข้าไปแตะต้อง AWS Canary credentials ที่นักวิจัยถืออยู่
การขโมยทรัพย์สินจริง: เราเตอร์ 1 เครื่องขโมย ETH ได้สำเร็จจากกุญแจส่วนตัวของนักวิจัย
การวิจัยเชิงต่อยอดหลังการ “วางพิษ” ทั้งสองกรณีเผยให้เห็นขนาดความเสี่ยงเพิ่มเติม กุญแจ OpenAI ที่รั่วไหลถูกนำไปใช้ในการสร้าง GPT-5.4 Token จำนวน 100 ล้านรายการ และมีเซสชันของ Codex มากกว่า 7 เซสชัน ขณะที่เหยื่อที่มีการตั้งค่าค่อนข้างอ่อนแอนั้นทำให้เกิดการคิดค่าใช้จ่าย 2 พันล้าน Token, ข้อมูลประจำตัว 99 ชิ้น ครอบคลุมเซสชันของ Codex 440 กว่าเซสชัน และมีเซสชันของพร็อกซีที่รันในโหมด YOLO อัตโนมัติเอง 401 เซสชัน
กรอบป้องกัน: กลไกการปกป้องฝั่งไคลเอนต์ 3 แบบเพื่อการตรวจยืนยันของ Mine agent
ทีมวิจัยได้สร้างตัวแทนเชิงวิจัยที่ชื่อว่า Mine ซึ่งสามารถดำเนินการโจมตีครบทั้งสี่ประเภทกับกรอบตัวแทนสาธารณะ 4 แบบ และยืนยันว่ามีการป้องกันฝั่งไคลเอนต์ที่ได้ผล 3 แบบ ได้แก่:
กลยุทธ์ “ปิดระบบเมื่อเกิดความผิดปกติ” (fault shutdown strategy gating) จำกัดขอบเขตการทำงานแบบอิสระของตัวแทนเมื่อระบบตรวจพบพฤติกรรมผิดปกติ เพื่อป้องกันไม่ให้เกิดความเสียหายที่ขยายวงกว้างจากการถูกควบคุมโดยเราเตอร์ที่เป็นอันตราย การกรองความผิดปกติฝั่งการตอบกลับทำการตรวจสอบอย่างอิสระต่อเนื้อหาที่เราเตอร์ส่งกลับมายังไคลเอนต์ เพื่อระบุเอาต์พุตที่ถูกดัดแปลง มีเพียงการบันทึกโปร่งใสแบบเพิ่มเข้าไปเท่านั้น (Append-only Transparent Logging) จะสร้างเส้นทางการตรวจสอบการทำงานที่ไม่สามารถปลอมแปลงได้ ทำให้สามารถย้อนกลับไปตรวจติดตามพฤติกรรมที่ผิดปกติได้ในภายหลัง
ประเด็นหลักของงานวิจัยคือ: ระบบนิเวศของ LLM router ในปัจจุบันยังขาดการปกป้องความสมบูรณ์ของข้อมูลด้วยการเข้ารหัสแบบมาตรฐาน นักพัฒนาไม่ควรพึ่งพาความมีวินัยของผู้ให้บริการ แต่ควรสร้างกลไกการตรวจยืนยันความสมบูรณ์ของข้อมูลที่เป็นอิสระในระดับฝั่งไคลเอนต์แทน
บริบทระบบนิเวศของ Solayer: infiniSVM และกองทุนระบบนิเวศ 35 ล้านดอลลาร์สหรัฐ
ภายใต้การเปิดเผยงานวิจัยความปลอดภัยครั้งนี้ Solayer ได้ประกาศตั้งกองทุนระบบนิเวศ 35 ล้านดอลลาร์สหรัฐในเดือนมกราคมของปีนี้ เพื่อสนับสนุนโปรเจกต์ในระยะเริ่มต้นและระยะเติบโตที่อยู่บนเครือข่าย infiniSVM infiniSVM คือบล็อกเชน Layer-1 ที่ทำงานร่วมกับเครื่องมือของ Solana ได้ และได้แสดงให้เห็นถึงความสามารถในการรองรับมากกว่า 330k ธุรกรรมต่อวินาที (TPS) พร้อมเวลายืนยันขั้นสุดท้ายราว 400 มิลลิวินาที กองทุนให้ความสำคัญกับโปรเจกต์ DeFi การชำระเงิน ระบบขับเคลื่อนด้วย AI และโทเคไนซ์สินทรัพย์โลกจริง (RWA) โดยใช้รายได้จากโปรโตคอลและปริมาณธุรกรรมในโลกจริงเป็นเกณฑ์วัดความสำเร็จ
คำถามที่พบบ่อย
เหตุใดการฉีดแบบเป็นอันตรายใน LLM router จึงตรวจจับได้ยากสำหรับผู้ใช้งาน?
เนื่องจาก LLM API router ทำงานในฐานะตัวแทนของเลเยอร์แอปพลิเคชัน จึงสามารถเข้าถึง JSON payload ที่กำลังส่งผ่านในรูปแบบข้อความชัดเจนได้ และปัจจุบันไม่มีข้อกำหนดมาตรฐานในอุตสาหกรรมที่บังคับให้มีการตรวจยืนยันความสมบูรณ์ของข้อมูลแบบเข้ารหัสระหว่างฝั่งไคลเอนต์กับโมเดลต้นทาง ตัวเราเตอร์ที่เป็นอันตรายสามารถลักขโมย credentials หรือฝังคำสั่งที่เป็นอันตรายไปพร้อมกับการส่งต่อคำขอ ทั้งกระบวนการจึงโปร่งใสและมองไม่เห็นโดยสิ้นเชิงสำหรับผู้ใช้ปลายทาง
เซสชันพร็อกซีในโหมด YOLO มีความเสี่ยงสูงเพราะเหตุใด?
โหมด YOLO คือโหมดที่ให้ AI agent ดำเนินการโดยอัตโนมัติโดยไม่ต้องมีการกำกับดูแลจากมนุษย์ การวิจัยพบว่าเซสชัน 401 เซสชันที่ทำงานในโหมดนี้หมายความว่า หากตัวแทนถูกควบคุมโดยเราเตอร์ที่เป็นอันตราย ความสามารถในการรันแบบอิสระจะถูกผู้โจมตีนำไปใช้ ซึ่งอันตรายที่อาจเกิดขึ้นนั้นมากกว่าการขโมย credentials อย่างง่าย ๆ และอาจนำไปสู่การทำงานอัตโนมัติที่เป็นอันตรายแบบต่อเนื่อง
นักพัฒนาจะป้องกันการโจมตีห่วงโซ่อุปทานของ LLM router ได้อย่างไร?
ทีมวิจัยแนะนำให้ใช้สถาปัตยกรรมการป้องกันแบบสามชั้น: ปรับใช้กลยุทธ์ปิดระบบเมื่อเกิดความผิดปกติ (fault shutdown strategy gating) เพื่อจำกัดขอบเขตการทำงานแบบอิสระของตัวแทน เปิดใช้งานการกรองความผิดปกติฝั่งการตอบกลับเพื่อตรวจจับเอาต์พุตที่ถูกดัดแปลง และสร้างการบันทึกโปร่งใสแบบเพิ่มเข้าไปเท่านั้น (Append-only Transparent Logging) เพื่อให้มั่นใจว่าสามารถตรวจสอบย้อนกลับได้ หลักการแกนคือไม่พึ่งพาความมีวินัยของผู้ให้บริการเราเตอร์ แต่ให้สร้างเลเยอร์การตรวจยืนยันความสมบูรณ์ของข้อมูลที่เป็นอิสระในฝั่งไคลเอนต์
