Ainda comprando estações de transferência de IA no Taobao? Denunciante do código-fonte do Claude Code vazado: pelo menos dezenas foram envenenadas

Revelações recentes de pesquisa sobre o vazamento do código-fonte do Claude Code expõem riscos de segurança ocultos em centros de transferência de IA comercializados. Testes práticos mostram que alguns centros de transferência podem roubar credenciais, chaves privadas de carteiras ou injetar códigos maliciosos, tornando-se pontos de ataque na cadeia de suprimentos.

Revelador do vazamento do código-fonte do Claude Code, pesquisa expõe riscos de segurança em centros de transferência de IA

Recentemente foi publicada uma tese de pesquisa intitulada “Seu Agente é Meu” (Your Agent Is Mine), cujo um dos autores é Chaofan Shou, o primeiro a divulgar o incidente de vazamento do código-fonte do Claude Code.

Este estudo foi pioneiro ao realizar uma análise sistemática de ameaças de segurança em roteadores de APIs de terceiros para grandes modelos de linguagem (LLMs), ou seja, os chamados centros de transferência, revelando que esses centros podem se tornar pontos de ataque na cadeia de suprimentos.

O que é um centro de transferência de IA?

Como a chamada API de LLM consome uma grande quantidade de tokens, gerando custos elevados de computação, os centros de transferência de IA podem usar cache para repetir perguntas e contextos, ajudando os clientes a economizar significativamente nos custos.

Além disso, esses centros possuem funções de alocação automática de modelos, podendo, de acordo com a dificuldade da questão do usuário, alternar dinamicamente entre modelos com diferentes padrões de cobrança e desempenho, e também trocar automaticamente para modelos de backup caso o servidor principal falhe, garantindo a estabilidade do serviço.

Centros de transferência são especialmente populares na China, pois o país não consegue usar diretamente certos produtos de IA estrangeiros, além da demanda empresarial por localidade na cobrança, tornando esses centros uma ponte importante entre modelos upstream e desenvolvedores downstream. Plataformas como OpenRouter e SiliconFlow também pertencem a essa categoria de serviço.

No entanto, centros de transferência que parecem reduzir custos e barreiras técnicas escondem riscos de segurança extremamente elevados.

Fonte: Pesquisa revela riscos de ataques na cadeia de suprimentos de centros de transferência de IA

Centros de transferência de IA têm acesso completo, tornando-se vulneráveis a ataques na cadeia de suprimentos

A pesquisa aponta que os centros operam na camada de aplicação da arquitetura de rede, tendo acesso completo ao conteúdo de cargas JSON durante a transmissão.

Como há falta de validação de integridade de criptografia ponta a ponta entre o cliente e o fornecedor do modelo upstream, os centros podem facilmente visualizar e modificar chaves de API, prompts do sistema e parâmetros de chamadas de ferramentas na saída do modelo.

A equipe de pesquisa destacou que, já em março de 2026, o roteador de código aberto LiteLLM foi alvo de um ataque de confusão de dependências, permitindo que atacantes injetassem código malicioso na pipeline de processamento de requisições, evidenciando vulnerabilidades nesse ponto.

• Notícia relacionada:** Resumo do ataque de injeção no LiteLLM: como verificar se carteiras criptográficas e chaves na nuvem foram comprometidas?**

Testes práticos mostram comportamento malicioso em dezenas de centros de transferência

A equipe comprou 28 centros de transferência pagos em plataformas como Taobao, Xianyu e Shopify, além de coletar 400 centros gratuitos de comunidades públicas para testes aprofundados, e os resultados revelaram que 1 centro pago e 8 centros gratuitos injetaram ativamente códigos maliciosos.

Entre os centros gratuitos testados, 17 tentaram usar credenciais AWS criadas pelos pesquisadores, e 1 deles chegou a roubar criptomoedas da carteira Ethereum dos pesquisadores.

Dados adicionais indicam que, ao reutilizar credenciais vazadas de upstream ou direcionar tráfego para pontos de menor proteção, centros aparentemente normais podem ser involuntariamente envolvidos na mesma superfície de ataque.

Na fase de testes de infecção, a equipe descobriu que esses pontos afetados processaram mais de 2,1 bilhões de tokens, expondo 99 credenciais reais em 440 sessões, sendo que 401 dessas sessões estavam operando de forma totalmente autônoma, permitindo que atacantes injetassem cargas maliciosas facilmente, sem necessidade de condições complexas de disparo.

Fonte: Pesquisa revela que mais de 400 centros de transferência foram testados, com dezenas apresentando comportamentos maliciosos

Quatro principais técnicas de ataque expostas

A pesquisa categoriza as ações maliciosas em centros de transferência em duas categorias principais e duas variantes de evasão adaptativa.

• Ataque de injeção de carga: após o retorno do resultado do modelo upstream, o centro de transferência altera silenciosamente os parâmetros de chamada de ferramentas, como substituir URLs legítimos por servidores controlados pelo atacante, levando o cliente a executar códigos maliciosos.
• Vazamento de informações confidenciais: centros de transferência interceptam e roubam chaves de API, credenciais AWS e chaves privadas de Ethereum por meio de varredura passiva do tráfego transmitido.

Para evitar detecção de segurança convencional, os atacantes evoluíram para técnicas de injeção de dependências, alterando nomes de pacotes em comandos de instalação de software, substituindo pacotes legítimos por versões maliciosas com nomes iguais ou confusos, publicados em repositórios públicos, criando backdoors persistentes na cadeia de suprimentos.

Outra técnica é a entrega condicional, onde comportamentos maliciosos só são ativados sob certas condições, como quando o número de requisições ultrapassa 50 ou quando o sistema está operando de forma totalmente autônoma (modo YOLO), para evitar testes de segurança limitados.

Três medidas de defesa viáveis

Diante de ataques de envenenamento na cadeia de suprimentos de centros de transferência de IA, a pesquisa propõe três ações defensivas:

• Implementar políticas de controle para ferramentas de alto risco: verificando e bloqueando domínios ou comandos de instalação não autorizados, com uma taxa de falsos positivos de 1%, bloqueando a maioria dos ataques de injeção de carga.
• Mecanismo de filtragem de anomalias na resposta: capaz de identificar 89% das cargas maliciosas com uma taxa de falsos positivos de 6,7%, auxiliando na revisão manual por desenvolvedores.
• Registro de logs de transparência adicional: embora não previna ataques, registra hashes de requisições e respostas, permitindo rastreamento e avaliação de danos em incidentes de segurança.

Apelo aos fornecedores upstream para implementação de mecanismos de verificação criptográfica

Embora as defesas no cliente possam reduzir riscos atuais, elas não resolvem vulnerabilidades na autenticação de origem. Desde que alterações feitas por centros de transferência não acionem alertas de anomalia, atacantes podem modificar facilmente a semântica da execução do programa e causar danos.

Para garantir a segurança do ecossistema de agentes de IA de forma definitiva, é necessário que os fornecedores upstream adotem mecanismos de resposta com verificação criptográfica. Somente vinculando de forma rigorosa os resultados do modelo às instruções finais executadas pelo cliente, por meio de criptografia, será possível assegurar a integridade ponta a ponta dos dados e prevenir integralmente riscos de cadeia de suprimentos por manipulação de centros de transferência.

Leituras adicionais:
OpenAI usa Mixpanel! Problemas de vazamento de dados de usuários, cuidado com phishing

Um erro de copiar e colar, 50 milhões de dólares evaporaram! Fraudes com endereços criptográficos, como se prevenir