Agentele AI au demonstrat vulnerabilitate la atacuri asupra routerelor

Regiune critică de vulnerabilitate în lanțul agenților AI: routere

Routerele (intermediar API) care conectează aplicațiile locale ale agenților cu modelele AI cloud reprezintă un punct de atac puțin cunoscut, dar extrem de periculos. Cercetătorii din Universitatea Californiană din Santa Barbara au demonstrat cât de ușor se poate exploata această vulnerabilitate.

Ce este un router AI?
* Rol – proxy între aplicația client și furnizorul de model (OpenAI, Anthropic, Google).
* Acces – complet la fiecare pachet JSON care trece prin el.
* Securitate – majoritatea furnizorilor mari nu aplică integritatea criptografică a datelor; astfel routerul poate modifica cererile fără a fi detectat.

Cum au verificat cercetătorii amenințarea
Pas Ce s-a făcut Rezultat 1 Am obținut acces la 28 de routere comerciale (Taobao, Xianyu, Shopify) și am analizat 400 gratuite din comunități deschise. Am observat numeroase puncte potențial periculoase. 2 Am introdus un payload, înlocuind URL-ul instalatorului sau numele pachetului cu o resursă controlată de noi. JSON modificat trecea toate verificările automate; o comandă `curl` modificată executa cod arbitrar pe client. 3 S-a scapat cheia API OpenAI și am observat cum atacatorii o foloseau pentru a genera 100 mln de tokeni GPT‑5. 4 Au fost dezvăluite datele de autentificare în sesiunile Codex. 5 Am implementat 20 de routere special vulnerabile pe 20 de adrese IP și am monitorizat activitatea lor. 40 000 încercări de acces neautorizat, ~2 miliarde de tokeni plătiți, 99 seturi de date de autentificare în 440 de sesiuni Codex (398 proiecte). În 401 din 440 de sesiuni era activată modulul autonom YOLO, permițând agentului să execute orice comandă fără confirmare.

De ce este atât de periculos
* Simplitatea atacului – nu se necesită falsificarea certificatelor; clientul specifică singur punctul final API.
* Lipsa verificării integrității – un router rău-cuvântat poate schimba comanda pe care agentul o va executa.
* Servicii nesigure – chiar și intermediarii „buni” pot deveni vector de atac.

Cum să te protejezi fără implicarea furnizorului
1. Semnătura răspunsurilor modelului – opțiunea ideală, dar încă lipsește la majoritatea furnizorilor (analogue DKIM pentru email).
2. Protecție multi‑nivel pe partea clientului – tratează fiecare router ca un potențial adversar:
* Validarea structurii și conținutului JSON.
* Restricții asupra URL-urilor, metodelor HTTP și payload-ului.
* Loguri și monitorizare a activităților suspecte.
3. Limitarea accesului la cheile API – stochează cheile în depozite sigure, aplică rotație și drepturi minime.

Concluzie
Verificarea originii comenzii de la modelul AI este imposibilă fără semnătura răspunsurilor din partea furnizorului. Până când astfel de mecanisme nu apar, utilizatorii trebuie să se protejeze pe partea clientului, verificând cu atenție toate serviciile intermediare și implementând politici stricte de securitate.