Eine neue arXiv-Studie entdeckt 26 LLM-API-Router, die bösartigen Code einschleusen und ETH-Wallets leeren, und deckt so eine versteckte Supply-Chain-Bedrohung in KI-Coding-Agents auf.
Die KI-Entwicklungstools, denen Entwickler täglich vertrauen, könnten Zugangsdaten und Kryptoguthaben an unbekannte Dritte weiterleiten. Eine neue, auf arXiv veröffentlichte und begutachtete Studie hat eine schwerwiegende und unterbelichtete Angriffsfläche innerhalb der LLM-Supply-Chain aufgedeckt, die echte Wallets gefährdet.
Forscher der UC Santa Barbara testeten 428 kostenpflichtige und kostenlose LLM-API-Router. Dies sind Dienste, die zwischen dem KI-Agenten eines Entwicklers und dem eigentlichen Modellanbieter geschaltet sind. Man kann sie sich als Mittelsmänner vorstellen. Sie sehen jede Nachricht, jeden Tool-Aufruf, jede JSON-Nutzlast im Klartext, die durchgeleitet wird.
Kein Anbieter erzwingt eine kryptografische Integrität zwischen Client und dem vorgelagerten Modell.
Die Zahlen, die niemand beobachtet hat
Von den 28 bezahlten Routern, die von Taobao, Xianyu und Shopify-gehosteten Stores gekauft wurden, spritzte 1 aktiv bösartigen Code ein. Unter 400 kostenlosen Routern, die aus öffentlichen Entwickler-Communities bezogen wurden, taten dies 8. Zwei davon setzten adaptive Evasion-Trigger ein, was bedeutet, dass die Angriffe nur unter spezifischen, zur Umgehung der Erkennung konzipierten Bedingungen ausgelöst werden.
17 Router griffen auf von den Forschern bereitgestellte AWS-Canary-Zugangsdaten zu. Einer leerte ETH von einem privaten Schlüssel im Besitz der Forscher.
Dieser letzte Punkt ist nicht theoretisch. Eine echte Wallet wurde geleert.
Was die Angriffe tatsächlich tun
Die Arbeit formalisiert vier Angriffsklassen. Payload-Injection (AC-1) pflanzt bösartige Anweisungen direkt in den Tool-Aufruf-Flow eines Agenten. Secret Exfiltration (AC-2) kopiert leise Zugangsdaten und sendet sie ab. Die adaptiven Varianten gehen weiter. Dependency-Targeted Injection (AC-1.a) wartet auf das Auftreten eines bestimmten Softwarepakets, bevor sie ausgelöst wird. Conditional Delivery (AC-1.b) hält den Angriff zurück, bis ein Verhaltenstrigger aktiviert wird.
Die Forscher bauten ein Tool namens Mine, einen Forschungs-Proxy, der alle vier Angriffsklassen gegen vier öffentliche Agenten-Frameworks ausführt. Es wurde verwendet, um drei clientseitige Verteidigungsmaßnahmen zu testen: eine Fail-Closed-Policy-Gate, eine anomalienerkennende Prüfung auf der Antwortseite und ein nur-anhängendes Transparenz-Protokoll.
Diese sind einsetzbar. Keine davon erfordert Änderungen seitens des Modellanbieters.
Ein geleakter Schlüssel erzeugte 100 Millionen Tokens
Die Arbeit enthält zwei Vergiftungsszenarien, die schwerer zu erklären sind. Im ersten griff ein scheinbar sauberer Router auf einen geleakten OpenAI-Schlüssel zu und erzeugte 100 Millionen GPT-5.4-Tokens sowie mehr als sieben Codex-Sessions. Im zweiten produzierte ein schwach konfigurierter Köder 2 Milliarden abgerechnete Tokens, 99 separate Zugangsdaten über 440 Codex-Sessions hinweg und 401 Sessions, die bereits in dem, was die Arbeit als autonomen YOLO-Modus bezeichnet, liefen.
YOLO-Modus. Agenten, die ohne menschliche Bestätigungsschleife ausführen.
Dies steht in Zusammenhang mit einem breiteren Muster, das Forscher bei autonomen KI-Agenten-Deployments beobachten, bei denen Agenten mit Wallet-Zugriff und Tool-Ausführungsberechtigungen zu hochwertigen Zielen werden, sobald eine Komponente der Lieferkette kompromittiert ist.
Keine kryptografischen Garantien
Die Kernschwachstelle ist architektonischer Natur. LLM-Agenten leiten Tool-Aufruf-Anfragen über Drittanbieter-API-Proxys. Diese Proxys haben vollen Klartextzugriff auf jede übertragene Nutzlast. Es gibt keine kryptografische Bindung zwischen dem, was ein Client sendet, und dem, was tatsächlich beim vorgelagerten Modell ankommt.
Ein bösartiger Router kann sie lesen. Verändern. Kopieren. Leeren.
Die Studie wurde verfasst von Hanzhi Liu, Chaofan Shou, Hongbo Wen, Yanju Chen, Ryan Jingyang Fang und Yu Feng und ist in voller Länge unter arxiv.org/abs/2604.08407 verfügbar.
Entwickler, die auf Drittanbieter-LLM-Routern aufbauen, sollten diese als nicht vertrauenswürdige Zwischenstellen behandeln, bis Integritätsprüfungen im gesamten Stack Standard sind. Die von den Forschern vorgeschlagenen Verteidigungsmaßnahmen existieren bereits. Die Angriffe aber auch.
Schreibe einen Kommentar