Все ще купуєте AI-центр на Taobao? Інформатор, який розкрив вихідний код Claude Code: щонайменше десятки були отруєні

Виявлення витоку вихідного коду Claude Code та нові дослідження викривають, що посередники AI-станції приховують ризики безпеки. Практичні дослідження показали, що деякі посередники крадуть сертифікати, приватні ключі гаманців або вставляють зловмисний код, перетворюючись на точки атаки в ланцюжку поставок.

Виявлення витоку вихідного коду Claude Code та ризики безпеки AI-посередників

Нещодавно опубліковано дослідницьку статтю «Твій агент — мій» (Your Agent Is Mine), одним із авторів якої є Chaofan Shou — один із перших, хто викрив витік вихідного коду Claude Code.

У статті вперше систематично досліджено безпеку сторонніх маршрутизаторів великих мовних моделей (LLM), тобто так званих посередників, і виявлено, що такі посередники можуть стати точками атаки в ланцюжку поставок.

Що таке AI-посередник?

Оскільки виклик LLM споживає багато токенів і призводить до високих обчислювальних витрат, AI-посередники можуть зберігати повторювані запити та контекст, допомагаючи клієнтам значно зекономити кошти.

Одночасно, посередники мають функцію автоматичного розподілу моделей, здатні динамічно перемикати між різними моделями з різними тарифами та продуктивністю залежно від складності запитів користувачів, а також автоматично перемикатися на резервні моделі у разі збоїв основних серверів, забезпечуючи стабільність сервісу.

Посередники особливо популярні в Китаї, оскільки країна не може безпосередньо використовувати деякі закордонні AI-продукти, а також через потребу локалізації оплати, тому посередники стають важливим мостом між верхніми моделями та нижніми розробниками. Платформи, такі як OpenRouter та SiliconFlow, належать до цієї категорії сервісів.

Однак, посередники, що здаються дешевшими та менш технічно складними, приховують великі ризики безпеки.

Джерело: дослідницька стаття викриває ризики атак у ланцюжку поставок AI-посередників

AI-посередники мають повний доступ, стаючи вразливістю для атак у ланцюжку поставок

У статті зазначено, що посередники працюють на рівні прикладної архітектури мережі і мають повний доступ до відкритого тексту JSON-пayload даних, що передаються.

Оскільки між клієнтом і постачальником верхньої моделі відсутня повна енд-ту-енд шифрування та перевірка цілісності, посередник може легко переглядати та змінювати API-ключі, системні підказки та параметри викликів моделей.

Команда дослідників зазначає, що ще у березні 2026 року популярний відкритий маршрутизатор LiteLLM був атакований через конфлікт залежностей, що дозволило зловмисникам вставляти зловмисний код у запити, що підкреслює вразливість цього елемента.

• **Пов’язані матеріали:**Звіт про ін’єкцію зловмисного коду у LiteLLM: як перевірити, чи не зламані криптогаманці та хмарні ключі?

Практичні дослідження десятків AI-посередників показали зловмисну поведінку

Команда дослідників купила 28 платних посередників на платформах Taobao, Xianyu та Shopify, а також зібрала 400 безкоштовних посередників із відкритих спільнот для глибокого тестування, і виявила, що 1 платний та 8 безкоштовних посередників активно вставляють зловмисний код.

У тестових зразках безкоштовних посередників 17 з них намагалися використати підставні AWS-сертифікати, створені дослідниками, а один посередник безпосередньо викрав криптовалюту з Ethereum-гаманця дослідників.

Дані досліджень показують, що повторне використання витеклих сертифікатів у верхніх моделях або перенаправлення трафіку до менш захищених вузлів може змусити навіть нібито безпечні посередники стати частиною однієї й тієї ж атаки.

У тестах на зараження було виявлено, що зазначені зламані вузли обробили понад 2,1 мільярда токенів, і у 440 сесіях було виявлено 99 справжніх сертифікатів, а 401 сесія працювала у повністю автономному режимі, що дозволяє зловмисникам легко вставляти зловмисний навантаження без складних тригерів.

Джерело: дослідницька стаття, що показує результати тестування понад 400 посередників, з яких десятки мають зловмисну поведінку

Чотири основні методи атак розкрито

У статті зведено атаки зловмисних посередників до двох основних категорій та двох варіантів адаптивного обходу.

• Атаки ін’єкції навантаження: посередник після отримання результату від верхньої моделі таємно змінює параметри викликів інструментів, наприклад, замінюючи легальні URL-адреси на сервери зловмисників, що призводить до виконання зловмисного коду на клієнтській стороні.
• Атаки витоку конфіденційної інформації: посередник пасивно сканує трафік, перехоплює та краде API-ключі, сертифікати AWS та приватні ключі Ethereum.

Щоб уникнути стандартних засобів безпеки, зловмисники вдосконалили методи ін’єкції залежностей, змінивши назви пакетів у командах встановлення, підмінюючи легальні пакети на зловмисні, опубліковані у відкритих реєстрах, або схожі за назвою, створюючи довгострокові «задні двері» у системі.

Ще один спосіб — умовна доставка, коли зловмисна поведінка активується лише за певних умов, наприклад, при понад 50 запитах або при виявленні системи у повністю автономному режимі (YOLO), щоб уникнути виявлення під час обмежених тестів безпеки.

Три можливі заходи захисту

У відповідь на атаки у ланцюжку поставок AI-посередників, стаття пропонує три заходи захисту:

• Впровадження політик для високоризикових інструментів: перевірка та блокування несанкціонованих доменів або команд встановлення пакетів, що дозволяє зменшити до 1% ймовірності помилкових спрацьовувань і запобігти більшості атак ін’єкції навантаження.
• Механізм виявлення аномалій на стороні відповіді: здатний з точністю 93.3% позначати 89% зловмисних зразків навантаження, допомагаючи розробникам у ручній перевірці.
• Додатковий журнал прозорості: хоча він не запобігає атакам, зберігає хеші запитів і відповідей для можливості подальшого розслідування та оцінки шкоди у разі інциденту.

Заклик до верхніх постачальників моделей — впроваджувати криптографічну перевірку

Хоча клієнтські механізми захисту здатні знизити частину ризиків, вони не усувають корінних вразливостей у ідентифікації джерела. Якщо зміни посередника не викликають попереджень у клієнта, зловмисники можуть легко змінювати поведінку програми та руйнувати її.

Щоб повністю забезпечити безпеку екосистеми AI-агентів, необхідно, щоб постачальники верхніх моделей впровадили підтримку криптографічної перевірки відповідей. Лише шляхом жорсткого криптографічного зв’язування результатів моделі з командами, що виконує клієнт, можна гарантувати цілісність даних від кінця до кінця і повністю запобігти ризикам підміни даних у ланцюжку поставок через посередників.

Додаткові матеріали:
OpenAI використовує Mixpanel! Виникли проблеми — витік даних користувачів, обережно з фішинговими листами

Помилка копіювання — 50 мільйонів ETH зникли! Знову шахрайство з підміною адрес криптовалют — як захиститися?