Een nieuwe arxiv-studie ontdekt 26 LLM API-routers die kwaadaardige code injecteren en ETH-portemonnees leegtrekken, wat een verborgen toeleveringsketenbedreiging in AI-coderingsagenten blootlegt.
De AI-coderingshulpmiddelen waar ontwikkelaars dagelijks op vertrouwen, kunnen inloggegevens en cryptofondsen doorgeven aan onbekende derden. Een nieuwe peer-reviewed studie gepubliceerd op arXiv heeft een ernstige en ondergerapporteerde kwetsbaarheid in de LLM-toeleveringsketen blootgelegd, die echte portemonnees in gevaar brengt.
Onderzoekers van UC Santa Barbara testten 428 betaalde en gratis LLM API-routers. Dit zijn diensten die tussen de AI-agent van een ontwikkelaar en de upstream-modelaanbieder staan. Zie ze als tussenpersonen. Zij zien elk bericht, elke toolaanroep, elke JSON-payload die in platte tekst passeert.
Geen enkele aanbieder handhaaft cryptografische integriteit tussen de client en het upstream-model.
De cijfers waar niemand naar keek
Van de 28 betaalde routers gekocht via Taobao, Xianyu en Shopify-winkels, injecteerde 1 actief kwaadaardige code. Onder de 400 gratis routers die uit openbare ontwikkelaarsgemeenschappen werden gehaald, deden er 8 hetzelfde. Twee daarvan gebruikten adaptieve ontwijkings triggers, wat betekent dat de aanvallen alleen onder specifieke omstandigheden worden geactiveerd om detectie te vermijden.
17 routers raakten de AWS-canary-inloggegevens van de onderzoekers. Eén leegde ETH van een privésleutel die in handen was van een onderzoeker.
Dat laatste is niet theoretisch. Een echte portemonnee werd geplunderd.
Wat de aanvallen daadwerkelijk doen
De studie formaliseert vier aanvalsklassen. Payload-injectie, gelabeld als AC-1, plaatst kwaadaardige instructies direct in de toolaanroepstroom van een agent. Geheime exfiltratie, AC-2, kopieert stilletjes inloggegevens en stuurt ze weg. De adaptieve varianten gaan verder. Dependency-targeted injectie, AC-1.a, wacht op een specifiek softwarepakket voordat het wordt geactiveerd. Conditionele levering, AC-1.b, houdt de aanval vast tot een gedragstrigger wordt geactiveerd.
De onderzoekers bouwden een tool genaamd Mine, een researchproxy die alle vier aanvalsklassen uitvoert tegen vier openbare agentframeworks. Het werd gebruikt om drie client-side verdedigingen te testen: een fail-closed beleidsgate, respons-side anomalie screening en append-only transparantie logging.
Deze zijn implementeerbaar. Geen ervan vereist wijzigingen van de modelaanbieder.
Een gelekt sleutel genereerde 100 miljoen tokens
De studie omvat twee vergiftigingsscenario’s die moeilijker te verklaren zijn. In het eerste geval gebruikte een ogenschoonlijk schone router een gelekt OpenAI-sleutel en genereerde 100 miljoen GPT-5.4-tokens plus meer dan zeven Codex-sessies. In het tweede geval produceerde een zwak geconfigureerd lokaas 2 miljard gefactureerde tokens, 99 aparte inloggegevens over 440 Codex-sessies, en 401 sessies die al actief waren in wat de studie autonome YOLO-modus noemt.
YOLO-modus. Agenten die uitvoeren zonder menselijke bevestigingslus.
Dit sluit aan bij een breder patroon dat onderzoekers hebben gevolgd bij autonome AI-agentimplementaties, waarbij agenten met portemonnee-toegang en tooluitvoeringsrechten hoogwaardige doelwitten worden zodra een toeleveringsketencomponent slecht wordt.
Geen cryptografische garanties
De kernkwetsbaarheid is architectonisch. LLM-agents routeren toolaanroepverzoeken via derden API-proxies. Deze proxies hebben volledige toegang in platte tekst tot elke payload in beweging. Er is geen cryptografische binding tussen wat een client verzendt en wat daadwerkelijk het upstream-model bereikt.
Een kwaadaardige router kan het lezen. Aanpassen. Kopiëren. Leegtrekken.
De studie is geschreven door Hanzhi Liu, Chaofan Shou, Hongbo Wen, Yanju Chen, Ryan Jingyang Fang en Yu Feng, en is volledig beschikbaar op arxiv.org/abs/2604.08407.
Ontwikkelaars die op derden LLM-routers bouwen, moeten ze als niet-vertrouwde tussenpersonen behandelen totdat integriteitsverificatie standaard is in de hele stack. De verdedigingen die de onderzoekers voorstellen, bestaan nu. De aanvallen ook.
Geef een reactie