Natuklasan ng isang bagong pag-aaral sa arxiv na 26 LLM API router ang nag-i-inject ng malisyosong code at naglilimas ng mga ETH wallet, na naglantad ng nakatagong banta sa supply chain sa loob ng mga AI coding agent.
Ang mga AI coding tool na pinagkakatiwalaan ng mga developer araw-araw ay maaaring nagpapakain ng mga credential at pondo ng crypto sa mga hindi kilalang third party. Isang bagong peer-reviewed na pag-aaral na inilathala sa arXiv ang naglantad ng isang seryoso at hindi gaanong naiuulat na attack surface sa loob ng supply chain ng LLM, isa na naglalagay sa mga tunay na wallet sa panganib.
Sinubok ng mga mananaliksik mula sa UC Santa Barbara ang 428 bayad at libreng LLM API router. Ang mga ito ay mga serbisyong nakaposisyon sa pagitan ng AI agent ng developer at ng upstream na tagapagbigay ng modelo. Isipin ang mga ito bilang mga middleman. Nakikita nila ang bawat mensahe, bawat tool call, bawat JSON payload na dumadaan sa plain text.
Walang provider ang nagpapatupad ng cryptographic integrity sa pagitan ng client at ng upstream model.
Ang Mga Bilang na Walang Nagmamatyag
Sa 28 bayad na router na binili mula sa Taobao, Xianyu, at mga Shopify-hosted na storefront, 1 ang aktibong nag-i-inject ng malisyosong code. Sa 400 libreng router na kinuha mula sa mga pampublikong komunidad ng developer, 8 ang gumagawa ng pareho. Dalawa sa mga iyon ay nag-deploy ng adaptive evasion triggers, na nangangahulugang ang mga atake ay sumasabog lamang sa ilalim ng mga tiyak na kondisyon na idinisenyo upang iwasan ang detection.
17 router ang humipo sa mga AWS canary credential na pagmamay-ari ng mananaliksik. Isa ang naglimas ng ETH mula sa isang pribadong key na pag-aari ng mananaliksik.
Ang huling detalye ay hindi teoretikal. Isang aktwal na wallet ang naubos.
Ang Tunay na Ginagawa ng mga Atake
Pormal na inilatag ng papel ang apat na klase ng atake. Ang payload injection, na may tatak na AC-1, ay direktang nagtatanim ng malisyosong instruksyon sa loob ng tool-calling flow ng isang agent. Ang secret exfiltration, AC-2, ay tahimik na kumokopya ng mga credential at ipinapadala ang mga ito. Ang mga adaptive variant ay mas malayo. Ang dependency-targeted injection, AC-1.a, ay naghihintay ng isang tiyak na software package bago mag-trigger. Ang conditional delivery, AC-1.b, ay pinipigilan ang atake hanggang sa mag-trigger ang isang behavioral na kondisyon.
Bumuo ang mga mananaliksik ng isang tool na tinatawag na Mine, isang research proxy na nagpapatakbo ng lahat ng apat na klase ng atake laban sa apat na pampublikong agent framework. Ginamit ito upang subukan ang tatlong client-side na depensa: isang fail-closed policy gate, response-side anomaly screening, at append-only transparency logging.
Ang mga ito ay maaaring i-deploy. Wala sa mga ito ang nangangailangan ng pagbabago mula sa tagapagbigay ng modelo.
Isang Na-leak na Key ang Nakabuo ng 100 Milyong Token
Kasama sa papel ang dalawang poisoning scenario na mas mahirap ipaliwanag. Sa una, isang tila malinis na router ang umakses sa isang na-leak na OpenAI key at nakabuo ng 100 milyong GPT-5.4 token kasama ang mahigit pitong Codex session. Sa pangalawa, isang mahinang naka-configure na decoy ang nakabuo ng 2 bilyong na-bill na token, 99 na hiwalay na credential sa kabuuan ng 440 Codex session, at 401 session na tumatakbo na sa tinatawag ng papel na autonomous YOLO mode.
YOLO mode. Mga agent na nag-e-execute nang walang human confirmation loop.
Ito ay konektado sa isang mas malawak na pattern na tinutugis ng mga mananaliksik sa buong mga deployment ng autonomous AI agent, kung saan ang mga agent na tumatakbo na may access sa wallet at pahintulot sa pag-execute ng tool ay nagiging high-value target sa sandaling magkaproblema ang isang bahagi ng supply chain.
Walang Cryptographic na Garantiya
Ang pangunahing kahinaan ay arkitektural. Ang mga LLM agent ay nagro-route ng mga tool-calling request sa pamamagitan ng third-party na API proxy. Ang mga proxy na ito ay may buong plaintext access sa bawat payload na nasa paglipad. Walang cryptographic binding sa pagitan ng ipinadala ng client at sa aktwal na nararating sa upstream model.
Mababasa ito ng isang malisyosong router. Mababago nito. Makokopya nito. Malilimas nito.
Ang pag-aaral ay inakda nina Hanzhi Liu, Chaofan Shou, Hongbo Wen, Yanju Chen, Ryan Jingyang Fang, at Yu Feng, at buong makukuha sa arxiv.org/abs/2604.08407.
Ang mga developer na gumagawa gamit ang third-party na LLM router ay dapat ituring ang mga ito bilang mga hindi mapagkakatiwalaang tagapamagitan hanggang sa ang integrity verification ay maging pamantayan sa buong stack. Ang mga depensang iminungkahi ng mga mananaliksik ay umiiral na ngayon. Ang mga atake, gayundin.
Mag-iwan ng Tugon