Cảnh báo: 26 bộ định tuyến AI bí mật cài mã độc để đánh cắp tiền điện tử

Các tác nhân LLM ngày càng định tuyến các yêu cầu thông qua các trung gian API hoặc bộ định tuyến của bên thứ ba để tổng hợp quyền truy cập vào các nhà cung cấp như OpenAI, Anthropic và Google. Tuy nhiên, các bộ định tuyến này chấm dứt các kết nối TLS (Bảo mật tầng truyền tải) Internet và có toàn quyền truy cập văn bản thuần túy vào mọi tin nhắn.

Điều này có nghĩa là các nhà phát triển sử dụng các tác nhân lập trình AI như Claude Code để làm việc trên các hợp đồng thông minh hoặc ví có thể đang chuyển các khóa riêng tư, cụm từ khôi phục và dữ liệu nhạy cảm qua cơ sở hạ tầng bộ định tuyến chưa được kiểm tra hoặc bảo mật.

ETH bị đánh cắp từ một ví tiền điện tử mồi

Các nhà nghiên cứu đã thử nghiệm 28 bộ định tuyến trả phí và 400 bộ định tuyến miễn phí được thu thập từ các cộng đồng công khai.

Những phát hiện của họ rất đáng kinh ngạc, với chín bộ định tuyến tích cực tiêm mã độc, hai bộ triển khai các trình kích hoạt lẩn tránh thích ứng, 17 bộ truy cập vào thông tin xác thực Amazon Web Services do các nhà nghiên cứu sở hữu, và một bộ rút cạn Ether (ETH) từ một khóa riêng tư do nhà nghiên cứu sở hữu.

Các nhà nghiên cứu đã nạp tiền trước vào các “khóa mồi” của ví Ethereum với số dư nhỏ và báo cáo rằng giá trị bị mất trong cuộc thử nghiệm là dưới 50 USD, nhưng không có thêm chi tiết nào như mã băm giao dịch được cung cấp.

Các tác giả cũng thực hiện hai “nghiên cứu đầu độc” cho thấy ngay cả các bộ định tuyến lành tính cũng trở nên nguy hiểm khi chúng tái sử dụng các thông tin xác thực bị rò rỉ thông qua các rơ-le yếu.

Khó có thể nhận biết liệu các bộ định tuyến có độc hại hay không

Các nhà nghiên cứu cho biết không dễ để phát hiện khi nào một bộ định tuyến là độc hại.

“Ranh giới giữa ‘xử lý thông tin xác thực’ và ‘đánh cắp thông tin xác thực’ là vô hình đối với khách hàng vì các bộ định tuyến đã đọc các bí mật dưới dạng văn bản thuần túy như một phần của quá trình chuyển tiếp bình thường.”

Một phát hiện đáng lo ngại khác là cái mà các nhà nghiên cứu gọi là “chế độ YOLO”. Đây là một cài đặt trong nhiều khung tác nhân AI, nơi tác nhân tự động thực hiện các lệnh mà không yêu cầu người dùng xác nhận từng lệnh một.

Các bộ định tuyến hợp pháp trước đây có thể bị biến thành vũ khí một cách âm thầm mà nhà điều hành thậm chí không hề hay biết, trong khi các bộ định tuyến miễn phí có thể đang đánh cắp thông tin xác thực trong khi cung cấp quyền truy cập API giá rẻ như một mồi nhử, các nhà nghiên cứu phát hiện.

“Các bộ định tuyến API LLM nằm trên một ranh giới tin cậy quan trọng mà hệ sinh thái hiện đang coi là phương tiện vận chuyển minh bạch.”

Các nhà nghiên cứu khuyến nghị rằng các nhà phát triển sử dụng các tác nhân AI để lập trình nên tăng cường các biện pháp phòng thủ phía khách hàng, gợi ý rằng không bao giờ được để các khóa riêng tư hoặc cụm từ khôi phục đi qua một phiên tác nhân AI.

Giải pháp lâu dài là các công ty AI phải ký số vào các phản hồi của họ để các hướng dẫn mà một tác nhân thực hiện có thể được xác minh về mặt toán học là đến từ mô hình thực tế.