ИИ‑агенты показали уязвимость к атакам на роутеры
Критическая уязвимость в цепочке AI‑агентов: маршрутизаторы
Маршрутизаторы (API‑посредники), которые соединяют локальные агентские приложения с облачными ИИ‑моделями, представляют собой малоизвестную, но крайне опасную точку атаки. Исследователи из Калифорнийского университета в Санта‑Барбаре продемонстрировали, насколько легко можно воспользоваться этой уязвимостью.
Что такое AI‑маршрутизатор?
* Роль – прокси между клиентским приложением и поставщиком модели (OpenAI, Anthropic, Google).
* Доступ – полный к каждому JSON‑пакету, проходящему через него.
* Безопасность – большинство крупных провайдеров не применяют криптографическую целостность данных; значит, маршрутизатор может менять запросы без обнаружения.
Как исследователи проверяли угрозу
| Шаг | Что сделали | Результат |
|---|---|---|
| 1 | Получили доступ к 28 коммерческим маршрутизаторам (Taobao, Xianyu, Shopify) и проанализировали 400 бесплатных из открытых сообществ. | Увидели множество потенциально опасных точек. |
| 2 | Внедрили payload, заменив URL‑адрес установщика или имя пакета на свой контролируемый ресурс. | Изменённый JSON проходил все автоматические проверки; одна изменённая команда `curl` запускала произвольный код на клиенте. |
| 3 | Утек API‑ключ OpenAI и наблюдали, как злоумышленники использовали его для генерации 100 млн токенов GPT‑5.4. | Были раскрыты учётные данные в сессиях Codex. |
| 4 | Развернули 20 специально уязвимых маршрутизаторов на 20 IP‑адресах и мониторили их активность. | 40 000 попыток несанкционированного доступа, ~2 млрд оплаченных токенов, 99 наборов учётных данных в 440 сессиях Codex (398 проектов). В 401 из 440 сессий был включён автономный режим YOLO, позволяющий агенту выполнять любые команды без подтверждения. |
Почему это так опасно
* Простота атаки – не требуется подделка сертификатов; клиент сам указывает конечную точку API.
* Отсутствие проверки целостности – вредоносный маршрутизатор может менять команду, которую агент выполнит.
* Небезопасные сервисы – даже «добросовестные» посредники могут стать вектором атаки.
Как защититься без участия поставщика
1. Подпись ответов от модели – идеальный вариант, но пока отсутствует у крупных провайдеров (аналог DKIM для почты).
2. Многоуровневая защита на стороне клиента – рассматривайте каждый маршрутизатор как потенциального противника:
* Валидация JSON‑структуры и контента.
* Ограничения по URL, методам HTTP и payload.
* Логи и мониторинг подозрительной активности.
3. Ограничение доступа к API‑ключам – храните ключи в безопасных хранилищах, применяйте ротацию и минимальные права.
Итог
Проверка происхождения команды от ИИ‑модели невозможна без подписи ответов со стороны поставщика. Пока такие механизмы не появятся, пользователи должны защищать себя на стороне клиента, тщательно проверяя все промежуточные сервисы и внедряя строгие политики безопасности.
Asted Cloud
Комментарии (0)
Оставьте отзыв — пожалуйста, будьте вежливы и по теме.
Войти, чтобы комментировать