Введение
Недавнее исследование показало, что некоторые маршрутизаторы внедряют вредоносный код, извлекают учетные данные, такие как приватные ключи и токены облака, и получают доступ к открытым данным, разрывая соединения TLS между пользователями и провайдерами, такими как OpenAI, Anthropic и Google.
Критическая угроза безопасности
Тестирование выявило случаи доступа к учетным данным и как минимум один случай, когда Ether был выведен из тестового кошелька с использованием скомпрометированного ключа. Исследователи из Университета Калифорнии обнаружили критическую угрозу безопасности в экосистеме искусственного интеллекта и предупредили, что некоторые маршрутизаторы больших языковых моделей (LLM) третьих сторон могут подвергать пользователей серьезным уязвимостям, включая кражу криптовалюты.
Риски в цепочке поставок ИИ
Их выводы проливают свет на растущую озабоченность по поводу скрытых рисков в цепочке поставок ИИ, особенно поскольку разработчики полагаются на промежуточные сервисы для подключения к основным провайдерам ИИ. Исследование изучило вредоносные атаки посредников и выявило несколько векторов атак, которые могут скомпрометировать чувствительную информацию.
Тревожные открытия
Среди самых тревожных открытий было то, что некоторые маршрутизаторы активно внедряли вредоносные вызовы инструментов в рабочие процессы ИИ, в то время как другие были способны извлекать учетные данные, такие как приватные ключи и токены доступа к облаку. По словам соавтора Чаофана Шоу, значительное количество этих маршрутизаторов тихо занимались кражей учетных данных без ведома пользователей.
Механизм работы маршрутизаторов
В центре проблемы лежит то, как эти маршрутизаторы функционируют. Выступая в качестве посредников между пользователями и основными провайдерами ИИ, такими как OpenAI, Anthropic и Google, они разрывают соединения Transport Layer Security (TLS). Этот процесс позволяет им получать доступ ко всем переданным данным в открытом виде, фактически ставя их в положение полного контроля над чувствительными взаимодействиями.
Опасные сценарии для разработчиков
Для разработчиков, работающих с ИИ-кодирующими агентами, особенно в таких областях, как смарт-контракты или криптокошельки, это создает опасный сценарий, в котором приватные ключи, семенные фразы и учетные данные могут быть непреднамеренно раскрыты.
Результаты исследования
Чтобы протестировать эти риски, исследователи оценили десятки платных и сотни бесплатных маршрутизаторов, полученных из публичных сообществ. Результаты были поразительными. Несколько маршрутизаторов были обнаружены с внедрением вредоносного кода, в то время как другие получили доступ к конфиденциальным облачным учетным данным. В одном случае маршрутизатор успешно использовал скомпрометированный приватный ключ для вывода Ether из тестового кошелька.
Долгосрочные последствия
Хотя финансовые потери в контролируемом эксперименте были минимальными, последствия для реальных приложений довольно серьезны. Исследование также показало, что даже маршрутизаторы, которые кажутся безопасными, могут со временем стать опасными. Через то, что исследователи описали как «отравление», ранее безобидные системы могут повторно использовать утеченные учетные данные, усиливая угрозу по всей сети.
Трудности в обнаружении угроз
Усложняет ситуацию трудность в обнаружении вредоносного поведения, поскольку от маршрутизаторов ожидается обработка чувствительных данных как части их нормальной функции, что делает границу между законной обработкой и кражей почти невидимой.
Автоматизированные функции и риски
Еще одним фактором риска является рост автоматизированных функций, таких как «YOLO режим», где агенты ИИ выполняют команды без подтверждения пользователя. В таких условиях вредоносные инструкции могут быть выполнены мгновенно, увеличивая вероятность эксплуатации.
Заключение
Исследователи предупреждают, что некоторые маршрутизаторы могут быть тихо скомпрометированы без ведома операторов, в то время как бесплатные сервисы могут намеренно заманивать пользователей низкой стоимостью доступа, одновременно собирая ценную информацию. Выводы ясно показывают, что существует настоятельная необходимость в более строгих мерах безопасности. Разработчикам рекомендуется избегать передачи чувствительной информации через системы ИИ и внедрять более строгие меры защиты на стороне клиента.
