Исследователи из Калифорнийского университета выявили новый тип атаки на уровне инфраструктуры, способный опустошать криптокошельки и внедрять вредоносный код в среды разработки, — и эта кража криптовалюты уже произошла в реальных условиях.
Систематическое исследование, опубликованное на arXiv 8 апреля 2026 года под названием «Измерение вредоносных атак посредников на цепочку поставок LLM» (Measuring Malicious Intermediary Attacks on the LLM Supply Chain), протестировало 428 маршрутизаторов (роутеров) для AI API и обнаружило, что 9 из них активно внедряли вредоносный код, 17 получили доступ к учетным данным AWS исследователей, а по меньшей мере один бесплатный роутер успешно вывел ETH с приватного ключа, контролируемого исследователем.
Поверхность атаки — это уровень маршрутизации ИИ-агентов — инфраструктура, которая быстро расширилась по мере того, как ИИ-агенты встраиваются в рабочие процессы выполнения блокчейна. Вопрос уже не в том, является ли эта угроза теоретической. Вопрос в том, сколько скомпрометированных роутеров уже обрабатывают активные пользовательские сессии.
- Масштаб тестирования: Исследователи протестировали 428 роутеров — 28 платных (полученных с Taobao, Xianyu, Shopify) и 400 бесплатных из публичных сообществ — используя подставные учетные данные AWS Canary и зашифрованные приватные ключи криптовалюты.
- Подтвержденная вредоносная активность: 9 роутеров внедрили вредоносный код, 17 получили доступ к учетным данным AWS, и 1 бесплатный роутер вывел ETH из кошелька, принадлежащего исследователю.
- Сложность уклонения: 2 роутера использовали адаптивное уклонение, включая ожидание 50 вызовов API перед активацией и целенаправленное нацеливание на автономные сессии в режиме YOLO.
- Механизм атаки: Роутеры работают как прокси на уровне приложений с доступом к JSON в открытом тексте — никакой стандарт шифрования не регулирует, что они могут читать или изменять при передаче.
- Охват отравления: Утекшие ключи OpenAI обработали 2,1 миллиарда токенов, раскрыв 99 учетных данных в 440 сессиях Codex и 401 автономной сессии в режиме YOLO.
- Рекомендуемые меры защиты: Исследователи призывают к использованию на стороне клиента шлюзов для закрытия ошибок, фильтрации аномалий в ответах, ведения журнала аудита только с добавлением (append-only) и криптографической подписи для проверяемых ответов LLM.
Как на самом деле работают вредоносные роутеры ИИ-агентов — прокси в открытом тексте, а не зашифрованные каналы
Стандартная инфраструктура API LLM была разработана для простого реле пересылки запросов и ответов: клиент отправляет запрос (промпт), роутер пересылает его поставщику модели, ответ возвращается.
Вредоносные роутеры используют именно эту модель доверия — они располагаются как прокси на уровне приложений посередине этого обмена, имея полный доступ на чтение и запись к полезным нагрузкам JSON в открытом тексте, проходящим через них в обоих направлениях.
Не существует стандартов шифрования, регулирующих, что роутер может инспектировать или изменять при передаче. Вредоносный роутер видит исходный промпт, ответ модели и все, что встроено в них, — включая приватные ключи, учетные данные API, мнемонические фразы кошельков или код, генерируемый для рабочей среды развертывания.
Он может изменить ответ до того, как он достигнет пользователя, внедрить дополнительный код в вывод генерации кода или незаметно эксфильтровать учетные данные на внешний конечный пункт.
Исследователи из Калифорнийского университета разработали агента под названием «Mine» для симуляции четырех различных типов атак на публичные фреймворки, специально нацеливаясь на автономные сессии в режиме YOLO, где агент выполняет действия без подтверждения человека на каждом шаге.
Два из 428 протестированных роутеров использовали адаптивное уклонение — один ждал 50 вызовов API, прежде чем активировать вредоносное поведение, специально чтобы избежать обнаружения во время первоначального тестирования. Это не грубый скрейпер учетных данных. Это целенаправленный инструмент, созданный для того, чтобы выдержать проверку.
Вектор отравляющей атаки дополнительно усугубляет риск. Когда утекшие ключи API OpenAI обрабатываются через скомпрометированную маршрутизирующую инфраструктуру, радиус поражения быстро растет — 2,1 миллиарда токенов обработано, 99 учетных данных раскрыто в 440 сессиях Codex и 401 автономной сессии в режиме YOLO только в контролируемой исследователями тестовой среде.
Кто на самом деле подвержен риску — и почему существующие средства защиты не достигают этого уровня кражи криптовалюты
Проблема не в существовании сторонних API-роутеров. Проблема в том, что вся модель доверия для инфраструктуры ИИ-агентов предполагает нейтральность уровня маршрутизации — и в настоящее время нет механизма принудительного исполнения этого предположения в масштабе.
Разработчики, создающие ончейн-инструменты, скрипты автоматизации DeFi и автономные торговые агенты, постоянно направляют вызовы API через стороннюю инфраструктуру.
Бесплатные роутеры, полученные из публичных сообществ — категория, в которой было обнаружено 8 из 9 вредоносных инжекторов, — широко используются именно потому, что они снижают стоимость создания приложений на базе LLM. По мере того как инфраструктура автоматизированного исполнения в DeFi становится все более зависимой от внешних данных и координации агентов, уровень маршрутизации становится все более привлекательной мишенью.
Существующая безопасность кошельков — аппаратные устройства, мультиподписи, офлайн-хранение ключей — не защищает от роутера, который перехватывает приватный ключ до того, как он достигнет уровня подписания, или который внедряет вредоносный код в скрипт развертывания, который затем выполняется в блокчейне.
Ежегодные убытки от кражи криптовалюты уже достигли 1,4 миллиарда долларов. Этот вектор атаки не требует взлома криптографии. Он требует компрометации части промежуточного ПО, которую большинство пользователей никогда не проверяют.
Автономные сессии в режиме YOLO являются точкой максимального риска. Когда агент выполняет многошаговые транзакции без контрольных точек подтверждения человеком, у вредоносного роутера есть более широкое окно для действий — а у пользователя нет промежуточного момента, чтобы поймать аномальное поведение.
Основатель Solayer @Fried_rice усилил выводы в X 10 апреля 2026 года, охарактеризовав ситуацию как «сторонние API-роутеры, на которые широко полагаются агенты больших языковых моделей», несущие «системные уязвимости безопасности» — характеристика, которая сильно отозвалась, учитывая масштаб внедрения автономных агентов в инструментарии DeFi.
Рекомендуемые исследователями меры защиты находятся на стороне клиента: шлюзы для закрытия ошибок, которые останавливают выполнение при обнаружении аномальных ответов, фильтрация аномалий в ответах и ведение журнала только с добавлением для аудиторских следов, которые сам роутер не сможет подделать. В более долгосрочной перспективе команда Калифорнийского университета выступает за стандарты криптографической подписи, которые сделают ответы LLM проверяемыми — тот же архитектурный принцип, который делает целостность ончейн-оракулов актуальным требованием к проектированию, а не запоздалой мыслью.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Ahmed Balaha
