Une nouvelle étude arXiv trouve 26 routeurs d’API LLM injectant du code malveillant et vidant des portefeuilles ETH, exposant une menace cachée de la chaîne d’approvisionnement à l’intérieur des agents de codage IA.
Les outils de codage IA que les développeurs utilisent quotidiennement peuvent transmettre des identifiants et des fonds cryptographiques à des tiers inconnus. Une nouvelle étude évaluée par les pairs publiée sur arXiv a exposé une surface d’attaque grave et sous-déclarée à l’intérieur de la chaîne d’approvisionnement LLM, qui met en danger des portefeuilles réels.
Des chercheurs de l’UC Santa Barbara ont testé 428 routeurs d’API LLM payants et gratuits. Ces services se situent entre l’agent IA d’un développeur et le fournisseur de modèle en amont. Considérez-les comme des intermédiaires. Ils voient chaque message, chaque appel d’outil, chaque charge utile JSON qui passe en texte clair.
Aucun fournisseur n’impose d’intégrité cryptographique entre le client et le modèle en amont.
Les chiffres que personne ne surveillait
Sur les 28 routeurs payants achetés sur Taobao, Xianyu et des boutiques hébergées sur Shopify, 1 injectait activement du code malveillant. Parmi 400 routeurs gratuits extraits de communautés de développeurs publiques, 8 faisaient de même. Deux d’entre eux déployaient des déclencheurs d’évasion adaptatifs, ce qui signifie que les attaques ne se déclenchent que sous des conditions spécifiques conçues pour échapper à la détection.
17 routeurs ont accédé à des identifiants canari AWS appartenant aux chercheurs. Un a drainé des ETH à partir d’une clé privée appartenant à un chercheur.
Ce dernier détail n’est pas théorique. Un portefeuille réel a été vidé.
Ce que font réellement les attaques
L’article formalise quatre classes d’attaques. L’injection de charge utile, étiquetée AC-1, insère des instructions malveillantes directement dans le flux d’appel d’outils d’un agent. L’exfiltration de secrets, AC-2, copie discrètement les identifiants et les envoie. Les variantes adaptatives vont plus loin. L’injection ciblant les dépendances, AC-1.a, attend qu’un package logiciel spécifique apparaisse avant de se déclencher. La livraison conditionnelle, AC-1.b, retient l’attaque jusqu’à ce qu’un déclencheur comportemental s’active.
Les chercheurs ont construit un outil appelé Mine, un proxy de recherche qui exécute les quatre classes d’attaques contre quatre frameworks d’agents publics. Il a été utilisé pour tester trois défenses côté client : une porte de politique de fermeture en cas d’échec, un filtrage des anomalies côté réponse, et une journalisation de transparence en ajout uniquement.
Ces défenses sont déployables. Aucune ne nécessite de modifications de la part du fournisseur de modèle.
Une clé fuitée a généré 100 millions de tokens
L’article inclut deux scénarios d’empoisonnement plus difficiles à expliquer. Dans le premier, un routeur apparemment propre a accédé à une clé OpenAI fuitée et a généré 100 millions de tokens GPT-5.4 ainsi que plus de sept sessions Codex. Dans le second, un leurre faiblement configuré a produit 2 milliards de tokens facturés, 99 identifiants distincts sur 440 sessions Codex, et 401 sessions déjà en cours dans ce que l’article appelle le mode YOLO autonome.
Mode YOLO. Des agents s’exécutant sans boucle de confirmation humaine.
Cela se connecte à un modèle plus large que les chercheurs suivent dans les déploiements d’agents IA autonomes, où les agents fonctionnant avec un accès au portefeuille et des permissions d’exécution d’outils deviennent des cibles de haute valeur au moment où un composant de la chaîne d’approvisionnement devient malveillant.
Aucune garantie cryptographique
La vulnérabilité centrale est architecturale. Les agents LLM acheminent les requêtes d’appel d’outils via des proxies d’API tiers. Ces proxies ont un accès en texte clair complet à chaque charge utile en transit. Il n’y a pas de liaison cryptographique entre ce qu’un client envoie et ce qui atteint réellement le modèle en amont.
Un routeur malveillant peut le lire. Le modifier. Le copier. Le vider.
L’étude est rédigée par Hanzhi Liu, Chaofan Shou, Hongbo Wen, Yanju Chen, Ryan Jingyang Fang, et Yu Feng, et est disponible en intégralité sur arxiv.org/abs/2604.08407.
Les développeurs construisant sur des routeurs LLM tiers devraient les traiter comme des intermédiaires non fiables jusqu’à ce que la vérification d’intégrité soit standardisée dans toute la pile. Les défenses que les chercheurs proposent existent dès maintenant. Les attaques aussi.
Laisser un commentaire