El fundador de Solayer publica una investigación sobre la seguridad de la cadena de suministro de LLM y se revela una inyección maliciosa en más del 2% de los enrutadores gratuitos

Noticias de Gate, 10 de abril, el fundador de Solayer @Fried_rice publicó en redes sociales que hay importantes vulnerabilidades de seguridad en la cadena de suministro de modelos de lenguaje grandes (LLM). La investigación indica que los agentes de LLM dependen cada vez más de enrutadores API de terceros para despachar solicitudes de llamadas a herramientas a múltiples proveedores upstream; estos enrutadores funcionan como proxies de capa de aplicación y pueden acceder en texto plano a la carga útil JSON de cada transmisión, pero actualmente ningún proveedor aplica protección de integridad criptográfica entre el cliente y el modelo upstream.

El documento prueba 28 enrutadores de pago comprados en Taobao, Xianyu y sitios independientes de Shopify, así como 400 enrutadores gratuitos recopilados de comunidades públicas. Los resultados revelan que 1 enrutador de pago y 8 enrutadores gratuitos están inyectando código malicioso de forma activa; 2 despliegan disparadores de evasión adaptativa; 17 tocan credenciales AWS Canary que pertenecen a los investigadores; y otros 1 roban ETH desde claves privadas que tenía el investigador.

Dos estudios adicionales sobre envenenamiento demuestran que los enrutadores aparentemente inocuos también pueden aprovecharse: una clave filtrada de OpenAI se usó para generar 100 millones de GPT-5.4 token y más de 7 sesiones de Codex; mientras que un señuelo con configuración más débil produjo 2000 millones de tokens de facturación, 99 credenciales que abarcaron 440 sesiones de Codex y 401 sesiones que ya se estaban ejecutando en modo autónomo YOLO.

El equipo de investigación construyó un agente de investigación llamado Mine, que puede ejecutar las cuatro categorías de ataques contra cuatro marcos públicos de agentes y verificó tres medidas de defensa en el cliente: compuerta de estrategia de cierre por fallo, detección anómala en el extremo de respuesta y registro de solo anexado y transparente.