Một nghiên cứu mới trên arxiv phát hiện 26 bộ định tuyến API LLM tiêm mã độc và rút cạn ví ETH, hé lộ mối đe dọa chuỗi cung ứng tiềm ẩn bên trong các tác nhân lập trình AI.
Các công cụ lập trình AI mà nhà phát triển tin dùng hàng ngày có thể đang cung cấp thông tin xác thực và quỹ tiền mã hóa cho các bên thứ ba không rõ danh tính. Một nghiên cứu đã được bình duyệt mới được công bố trên arXiv đã phơi bày một bề mặt tấn công nghiêm trọng và ít được báo cáo bên trong chuỗi cung ứng LLM, một mối đe dọa có thể gây rủi ro thực sự cho các ví tiền.
Các nhà nghiên cứu từ UC Santa Barbara đã kiểm tra 428 bộ định tuyến API LLM có trả phí và miễn phí. Đây là các dịch vụ nằm giữa tác nhân AI của nhà phát triển và nhà cung cấp mô hình hạ nguồn. Hãy coi chúng như những trung gian. Chúng nhìn thấy mọi tin nhắn, mọi lệnh gọi công cụ, mọi tải trọng JSON đi qua dưới dạng văn bản thuần túy.
Không có nhà cung cấp nào thực thi tính toàn vẹn mật mã giữa máy khách và mô hình hạ nguồn.
Những Con Số Không Ai Để Ý
Trong số 28 bộ định tuyến trả phí được mua từ các cửa hàng trên Taobao, Xianyu và Shopify, có 1 bộ đang tích cực tiêm mã độc. Trong số 400 bộ định tuyến miễn phí lấy từ các cộng đồng nhà phát triển công khai, có 8 bộ làm điều tương tự. Hai trong số đó triển khai cơ chế kích hoạt né tránh thích ứng, nghĩa là các cuộc tấn công chỉ diễn ra trong những điều kiện cụ thể được thiết kế để tránh bị phát hiện.
17 bộ định tuyến đã chạm vào thông tin xác thực AWS mồi nhử do nhà nghiên cứu sở hữu. Một bộ đã rút ETH từ khóa riêng tư do nhà nghiên cứu sở hữu.
Chi tiết cuối cùng đó không phải là lý thuyết. Một ví tiền thực sự đã bị rút cạn.
Các Cuộc Tấn Công Thực Sự Làm Gì
Bài báo chính thức hóa bốn loại tấn công. Tiêm tải trọng, được gắn nhãn AC-1, cấy chỉ thị độc hại trực tiếp vào luồng gọi công cụ của tác nhân. Rò rỉ bí mật, AC-2, lặng lẽ sao chép thông tin xác thực và gửi chúng ra ngoài. Các biến thể thích ứng còn đi xa hơn. Tiêm nhắm mục tiêu phụ thuộc, AC-1.a, chờ một gói phần mềm cụ thể xuất hiện trước khi kích hoạt. Phân phối có điều kiện, AC-1.b, giữ lại cuộc tấn công cho đến khi một kích hoạt hành vi diễn ra.
Các nhà nghiên cứu đã xây dựng một công cụ có tên Mine, một proxy nghiên cứu thực hiện cả bốn loại tấn công này chống lại bốn khung tác nhân công khai. Nó được sử dụng để kiểm tra ba cơ chế phòng thủ phía máy khách: một cổng chính sách đóng khi lỗi, sàng lọc bất thường phía phản hồi và ghi nhật ký minh bạch chỉ bổ sung.
Chúng có thể triển khai được. Không có biện pháp nào trong số này yêu cầu thay đổi từ nhà cung cấp mô hình.
Một Khóa Bị Rò Rỉ Đã Tạo Ra 100 Triệu Token
Bài báo bao gồm hai kịch bản nhiễm độc khó có thể giải thích được. Trong kịch bản đầu tiên, một bộ định tuyến bề ngoài sạch sẽ đã truy cập vào khóa OpenAI bị rò rỉ và tạo ra 100 triệu token GPT-5.4 cùng với hơn bảy phiên Codex. Trong kịch bản thứ hai, một bộ mồi nhử được cấu hình yếu đã tạo ra 2 tỷ token được tính phí, 99 thông tin xác thực riêng biệt trên 440 phiên Codex và 401 phiên đã chạy trong chế độ mà bài báo gọi là chế độ YOLO tự trị.
Chế độ YOLO. Các tác nhân thực thi mà không có vòng lặp xác nhận từ con người.
Điều này liên kết đến một mô hình rộng hơn mà các nhà nghiên cứu đã theo dõi trên các triển khai tác nhân AI tự trị, nơi các tác nhân chạy với quyền truy cập ví và quyền thực thi công cụ trở thành mục tiêu có giá trị cao ngay khi một thành phần chuỗi cung ứng trở nên xấu xa.
Không Có Đảm Bảo Mật Mã
Lỗ hổng cốt lõi là kiến trúc. Các tác nhân LLM định tuyến các yêu cầu gọi công cụ thông qua proxy API của bên thứ ba. Các proxy này có toàn quyền truy cập văn bản thuần túy vào mọi tải trọng đang truyền đi. Không có ràng buộc mật mã nào giữa những gì máy khách gửi đi và những gì thực sự đến được mô hình hạ nguồn.
Một bộ định tuyến độc hại có thể đọc nó. Sửa đổi nó. Sao chép nó. Rút cạn nó.
Nghiên cứu được thực hiện bởi Hanzhi Liu, Chaofan Shou, Hongbo Wen, Yanju Chen, Ryan Jingyang Fang và Yu Feng, và có sẵn đầy đủ tại arxiv.org/abs/2604.08407.
Các nhà phát triển xây dựng trên bộ định tuyến LLM của bên thứ ba nên coi chúng như những trung gian không đáng tin cậy cho đến khi việc xác minh tính toàn vẹn trở thành tiêu chuẩn trên toàn bộ ngăn xếp. Các biện pháp phòng thủ mà các nhà nghiên cứu đề xuất hiện đã tồn tại. Và các cuộc tấn công cũng vậy.
Để lại một bình luận