Vous achetez encore une station de transit AI sur Taobao ? La fuite du code source de Claude : au moins une dizaine de personnes ont été empoisonnées, selon un lanceur d'alerte.

Les dernières recherches sur la dénonciation de la fuite du code source de Claude Code révèlent que les relais d’IA commerciaux cachent des risques de sécurité. Des tests ont montré que certains relais peuvent voler des certificats, des clés privées de portefeuille ou injecter des codes malveillants, devenant ainsi des points d’attaque dans la chaîne d’approvisionnement.

Le dénonciateur de la fuite du code source de Claude Code, révèle les risques de sécurité des relais d’IA

Récemment, une étude intitulée « Votre agent est le mien » (Your Agent Is Mine) a été publiée, dont l’un des auteurs est Chaofan Shou, le premier à avoir révélé la fuite du code source de Claude Code.

Cette étude a pour la première fois analysé de manière systématique la menace de sécurité des routeurs API tiers pour les grands modèles de langage (LLM), communément appelés relais, et a révélé que ces relais peuvent devenir des points d’attaque dans la chaîne d’approvisionnement.

Qu’est-ce qu’un relais d’IA ?

Étant donné que l’appel à un LLM consomme beaucoup de jetons, entraînant des coûts de calcul élevés, les relais d’IA peuvent utiliser la mise en cache pour répéter les questions et explications de contexte, aidant ainsi les clients à réduire considérablement leurs coûts.

Par ailleurs, les relais disposent d’une fonction d’allocation automatique de modèles, permettant de basculer dynamiquement entre différents modèles selon la difficulté des questions des utilisateurs, avec des standards de facturation et des performances variables, et de passer automatiquement à un modèle de secours si le serveur principal tombe en panne, garantissant la stabilité du service.

Les relais sont particulièrement populaires en Chine, car le pays ne peut pas utiliser directement certains produits d’IA étrangers, et les entreprises ont besoin de localiser la facturation. Les relais deviennent donc un pont essentiel entre les modèles en amont et les développeurs en aval. Des plateformes comme OpenRouter ou SiliconFlow appartiennent à cette catégorie de services.

Cependant, derrière cette apparence de réduction des coûts et de barrière technique, se cachent d’énormes risques de sécurité.

Source : étude révélant les risques d’attaque dans la chaîne d’approvisionnement des relais d’IA

Les relais d’IA ont un accès complet, ce qui en fait une faille dans la chaîne d’approvisionnement

L’étude indique que les relais opèrent au niveau de la couche applicative de l’architecture réseau, avec un accès complet en clair aux charges JSON transmises.

En l’absence de vérification d’intégrité de chiffrement de bout en bout entre le client et le fournisseur du modèle en amont, les relais peuvent facilement voir et modifier les clés API, les prompts système et les paramètres d’appel de l’outil de sortie du modèle.

L’équipe de recherche a souligné qu’en mars 2026, le routeur open source LiteLLM a été victime d’une attaque de confusion de dépendances, permettant à un attaquant d’injecter du code malveillant dans le pipeline de traitement des requêtes, illustrant la vulnérabilité de cette étape.

• Rapport associé : LiteLLM, l’attaque de poisoning : comment vérifier si votre portefeuille cryptographique ou vos clés cloud ont été compromis ?

Des dizaines de relais d’IA présentent un comportement malveillant

L’équipe de recherche a acheté 28 relais payants sur des plateformes comme Taobao, Xianyu et Shopify, et a collecté 400 relais gratuits via des communautés publiques pour des tests approfondis. Les résultats ont montré qu’un relais payant et huit relais gratuits injectaient activement du code malveillant.

Parmi les relais gratuits, 17 tentaient d’utiliser des certificats AWS piégés par les chercheurs, et un relais a directement volé des cryptomonnaies dans le portefeuille Ethereum des chercheurs.

Les données montrent que dès lors qu’un relais réutilise des certificats d’amont compromis ou oriente le trafic vers des nœuds moins sécurisés, même un relais apparemment normal peut être impliqué dans la même surface d’attaque.

Lors des tests d’infection, l’équipe a constaté que ces nœuds affectés ont traité plus de 2,1 milliards de jetons, exposant 99 vrais certificats dans 440 sessions, dont 401 étaient entièrement autonomes, permettant aux attaquants d’injecter facilement des charges malveillantes sans conditions complexes.

Source : étude révélant que plus de 400 relais ont été testés, plusieurs présentant un comportement malveillant

Quatre principales techniques d’attaque révélées

L’étude classe les comportements malveillants des relais en deux grandes catégories principales et deux variantes d’évitement adaptatif.

• Injection de charges utiles : Après que le modèle en amont renvoie un résultat, le relais modifie discrètement les paramètres d’appel de l’outil, par exemple en remplaçant une URL légitime par un serveur contrôlé par l’attaquant, ce qui permet d’exécuter du code malveillant côté client.
• Fuite de données sensibles : Le relais intercepte et vole passivement des clés API, des certificats AWS ou des clés privées Ethereum en scannant le trafic en transit.

Pour échapper aux détections classiques, les attaquants ont développé une technique d’injection ciblée, modifiant spécifiquement le nom des packages dans les commandes d’installation, en remplaçant les packages légitimes par des versions malveillantes, souvent similaires ou confusantes, publiées dans des registres publics. Cela permet d’établir une porte dérobée persistante dans la chaîne d’approvisionnement du système cible.

Une autre méthode consiste en une livraison conditionnelle, où le comportement malveillant ne se déclenche que sous certaines conditions, comme un nombre de requêtes supérieur à 50 ou la détection que le système fonctionne en mode autonome (mode YOLO), afin d’échapper aux contrôles de sécurité limités.

Trois mesures de défense possibles

Face à la menace d’empoisonnement de la chaîne d’approvisionnement des relais d’IA, l’étude propose trois mesures de défense :

• Mise en place de politiques de contrôle pour les outils à haut risque : Vérifier et bloquer les domaines ou commandes d’installation non autorisés, avec un taux de faux positifs d’environ 1 %, pour bloquer la majorité des injections de charges utiles.
• Filtrage des anomalies côté réponse : Capable de repérer 89 % des charges malveillantes avec un taux de faux positifs de 6,7 %, aidant efficacement les développeurs à effectuer une revue manuelle.
• Journalisation transparente supplémentaire : Bien qu’elle ne puisse pas prévenir l’attaque, cette méthode enregistre les hash des requêtes et des réponses, permettant une traçabilité et une évaluation des dommages en cas d’incident de sécurité.

Appel aux fournisseurs de modèles en amont pour une vérification cryptographique

Bien que les mécanismes de défense côté client puissent réduire certains risques à court terme, ils ne résolvent pas fondamentalement la faille d’authentification de la source. Tant que les modifications effectuées par le relais ne déclenchent pas d’alertes de sécurité côté client, un attaquant peut continuer à modifier le comportement du programme et à causer des dommages.

Pour assurer la sécurité de l’écosystème des agents IA, il est essentiel que les fournisseurs de modèles en amont proposent un mécanisme de réponse avec vérification cryptographique. Seule une liaison cryptée rigoureuse entre les résultats du modèle et les commandes finales exécutées par le client peut garantir l’intégrité des données de bout en bout et prévenir efficacement la falsification de la chaîne d’approvisionnement par les relais.

Lectures complémentaires :
OpenAI et le problème de Mixpanel ! Fuite de données de certains utilisateurs, attention aux emails de phishing

Une erreur de copier-coller a fait disparaître 50 millions de dollars ! La fraude par injection d’adresses cryptographiques, comment s’en prémunir ?