ИИ‑агентите показаха уязвимост към атаки върху рутери

Критична уязвимост в веригата от AI‑агенти: маршрутизатори

Маршрутизаторите (API‑посредници), които свързват локални агенти с облачни ИИ‑модели, представляват малкоизвестна, но изключително опасна точка за атаки. Изследователи от Калифорнийския университет в Санта Барбара демонстрираха колко лесно може да се възползва от тази уязвимост.

Какво е AI‑маршрутизатор?
* Роля – прокси между клиентското приложение и доставчика на модел (OpenAI, Anthropic, Google).
* Достъп – пълен достъп до всеки JSON‑пакет, преминаващ през него.
* Сигурност – повечето големи доставчици не прилагат криптографична целост на данните; следователно маршрутизаторът може да променя заявките без откриване.

Как изследователите провериха заплахата
Стъпка | Какво направиха | Резултат
---|---|---
1 | Получили достъп до 28 търговски маршрутизатори (Taobao, Xianyu, Shopify) и анализирали 400 безплатни от общността. | Откриха множество потенциално опасни точки.
2 | Инжектираха payload, заменяйки URL‑адреса на инсталационния файл или името на пакета с контролираен ресурс. | Промененият JSON преминаваше всички автоматични проверки; една променена команда `curl` изпълняваше произволен код на клиента.
3 | Изтична API‑ключът на OpenAI и наблюдаваха как злоумышленниците го използват за генериране на 100 млн токена GPT‑5.
4 | Разкриха учётни данни в сесии Codex.
5 | Деплойнали 20 специално уязвими маршрутизатори на 20 IP адреса и мониторили тяхната активност. | 40 000 опита за неоторизиран достъп, ~2 млрд платени токена, 99 набора от учётни данни в 440 сесии Codex (398 проекта). В 401 от 440 сесии беше включен автономен режим YOLO, позволяващ агентът да изпълнява всякакви команди без потвърждение.

Защо това е толкова опасно
* Простота на атаката – не се изисква фалшифициране на сертификати; клиентът сам указва крайния API.
* Липса на проверка на целостта – злонамерен маршрутизатор може да промени командата, която агентът ще изпълни.
* Небезопасни услуги – дори „добросъвестните“ посредници могат да станат вектор за атака.

Как се защитим без участие на доставчика
1. Подписване на отговорите от модела – идеално решение, но все още липсва при големите доставчици (аналог DKIM за поща).
2. Многостепенна защита от страна на клиента – разглеждайте всеки маршрутизатор като потенциален противник:
* Валидация на JSON‑структурата и съдържанието.
* Ограничения по URL, HTTP методи и payload.
* Логове и мониторинг на подозрителна активност.
3. Ограничаване на достъпа до API‑ключовете – съхранявайте ключовете в сигурни хранилища, прилагайте ротация и минимални права.

Резултат
Проверка на произхода на командата от ИИ‑модел е невъзможна без подписване на отговорите от доставчика. Докато такива механизми не се появят, потребителите трябва да защитават себе си от страна на клиента, внимателно проверявайки всички междинни услуги и прилагайки строги политики за сигурност.