Все ще купуєте AI-центр на Таобао? Інформатор, який розкрив вихідний код Claude Code: щонайменше десятки були отруєні

Виявлення останніх досліджень з витоку коду Claude Code, що викривають, що посередники AI на ринку приховують ризики безпеки. Практичні дослідження показали, що деякі посередники крадуть сертифікати, приватні ключі гаманців або вставляють зловмисний код, ставши точками атаки в ланцюжку поставок.

Виявлення витоку коду Claude Code, що викриває ризики безпеки AI-посередників

Нещодавно було опубліковано дослідницький документ «Твій агент — мій» (Your Agent Is Mine), одним із авторів якого є Chaofan Shou, той, хто раніше викрив витік коду Claude Code.

У цій статті вперше систематично досліджено безпеку сторонніх API-роутерів для великих мовних моделей (LLM), так званих посередників, і викрито, що такі посередники можуть стати точками атаки в ланцюжку поставок.

Що таке AI-посередник?

Оскільки виклик LLM споживає багато токенів і спричиняє високі обчислювальні витрати, AI-посередники можуть за допомогою кешування повторюваних запитів значно знизити витрати для клієнтів.

Крім того, посередники мають функцію автоматичного розподілу моделей, здатну динамічно перемикати між різними моделями з різною складністю та ефективністю залежно від складності запитів користувачів, а також автоматично перемикатися на резервну модель у разі збоїв основної, забезпечуючи стабільність сервісу.

Посередники особливо популярні в Китаї, оскільки країна не має прямого доступу до деяких закордонних AI-продуктів, а також через потребу локалізації обчислень для компаній. Тому посередники стають важливим мостом між верхніми моделями та нижніми розробниками. До таких платформ належать відкриті маршрутизатори (OpenRouter) та SiliconFlow, що належать до цієї категорії сервісів.

Однак, посередники, що здаються дешевшими та менш технічно складними, приховують великі ризики безпеки.

Джерело: дослідницький документ викриває ризики атак у ланцюжку поставок AI-посередників

AI-посередники мають повний доступ, стаючи вразливими для атак у ланцюжку поставок

У дослідженні зазначено, що посередники працюють на рівні прикладної архітектури мережі і мають повний доступ до відкритого тексту JSON-повідомлень під час передачі.

Оскільки між клієнтською стороною та постачальником верхньої моделі відсутня повна перевірка цілісності шифрування кінця в кінець, посередник може легко переглядати та змінювати API-ключі, системні підказки та параметри викликів моделей.

Команда дослідників зазначає, що ще у березні 2026 року популярний відкритий маршрутизатор LiteLLM був атакований через конфлікт залежностей, що дозволило зловмиснику вставляти зловмисний код у запити, що підкреслює вразливість цього елемента.

• **Пов’язані звіти:**Злочинна інжекція LiteLLM: як перевірити, чи не зламано криптогаманці та хмарні ключі?

Практичні дослідження десятків AI-посередників показали зловмисну поведінку

Команда дослідників купила 28 платних посередників на платформах Taobao, Xianyu та Shopify і зібрала 400 безкоштовних посередників із відкритих спільнот для глибокого тестування, і результати показали, що 1 платний та 8 безкоштовних посередників активно вставляють зловмисний код.

У зразках безкоштовних посередників 17 з них намагалися використати підставні AWS-облікові дані, створені дослідниками, а один посередник безпосередньо викрав криптовалюту з Ethereum-гаманця дослідників.

Дані досліджень додатково показують, що повторне використання витеклих верхніх сертифікатів або перенаправлення трафіку на менш захищені вузли може змусити навіть нібито безпечний посередник стати частиною тієї ж атаки.

У тестах на зараження команда виявила, що такі уражені вузли обробили понад 2,1 мільярда токенів і у 440 сесіях розкрили 99 справжніх сертифікатів, з яких 401 були у повністю автономному режимі, що дозволяє зловмиснику легко вставляти зловмисний навантаження без складних триггерних умов.

Джерело: дослідницький документ, що показує результати тестування понад 400 посередників, з яких десятки мають зловмисну поведінку

Чотири основні методи атак розкрито

Дослідження класифікує зловмисні дії посередників у дві основні категорії та два варіанти адаптивного обходу.

• Атака інжекції навантаження: посередник після отримання результату від верхньої моделі таємно змінює параметри викликів інструментів, наприклад, замінюючи легальні URL-адреси на сервери зловмисника, що призводить до виконання зловмисного коду на клієнтській стороні.
• Атака витоку конфіденційної інформації: посередник пасивно сканує трафік, перехоплює та краде API-ключі, сертифікати AWS та приватні ключі Ethereum.

Щоб уникнути стандартних засобів безпеки, зловмисники вдосконалили методи інжекції залежностей, змінивши назви пакетів у командах встановлення, замінюючи легальні пакети на зловмисні, що вже опубліковані у відкритих реєстрах, створюючи довгострокові бекдори у системі.

Ще один спосіб — умовна доставка, коли зловмисна поведінка активується лише за певних умов, наприклад, при понад 50 запитах або виявленні роботи у повністю автономному режимі (YOLO), щоб уникнути обмежених перевірок безпеки.

Три можливі заходи захисту

У відповідь на атаки у ланцюжку поставок AI-посередників, дослідження пропонують три заходи захисту:

• Впровадження політик для високоризикових інструментів: перевірка та блокування несанкціонованих доменів або команд встановлення пакетів, що зменшує ймовірність інжекції навантаження з приблизно 1% помилкових спрацьовувань.
• Механізм виявлення аномалій на стороні відповіді: здатний з точністю 93.3% позначати 89% зловмисних навантажень для подальшого ручного аналізу.
• Додатковий журнал прозорості: хоча цей механізм не запобігає атакам, він зберігає хеші запитів і відповідей для можливості подальшого розслідування та оцінки шкоди.

Заклик до верхніх постачальників моделей — впроваджувати криптографічні механізми перевірки

Хоча клієнтські засоби захисту здатні зменшити частину ризиків на даний момент, вони не вирішують проблему аутентифікації джерела. Якщо зміни посередника не викликають попереджень у клієнта, зловмисник може легко змінювати поведінку програми та руйнувати її.

Щоб повністю забезпечити безпеку екосистеми AI-агентів, необхідно, щоб верхні постачальники моделей підтримували механізми криптографічної перевірки відповідей. Лише шляхом жорсткого криптографічного зв’язування результатів моделі з командами, що виконує клієнт, можна гарантувати цілісність даних кінця в кінець і повністю запобігти зміні даних посередниками у ланцюжку поставок.

Додаткові матеріали:
OpenAI використовує Mixpanel — стався витік! Частина користувацьких даних стала доступною, будьте обережні з фішинговими листами

Помилка копіювання — 50 мільйонів ETH зникли! Знову шахрайство з підміною адрес криптовалют, як захиститися?