Засновник Solayer опублікував дослідження безпеки LLM-постачальницького ланцюга, у понад 2% безплатних роутерів виявили шкідливе впровадження

Новини Gate News, 10 квітня, засновник Solayer @Fried_rice у публікації в соціальних мережах повідомив про суттєву критичну вразливість безпеки в ланцюжку постачання великих мовних моделей (LLM). Дослідження вказує, що LLM-агенти дедалі більше покладаються на сторонні API-маршрутизатори для розподілу запитів на виклик інструментів між кількома постачальниками вище по ланцюжку. Ці маршрутизатори працюють як проксі на рівні застосунків і можуть у відкритому вигляді отримувати доступ до JSON-навантаження кожної переданої порції даних, однак наразі жоден постачальник не впроваджує на клієнтській стороні та між клієнтом і моделлю вище по ланцюжку примусову перевірку цілісності шифрування.

У статті протестовано 28 платних маршрутизаторів, придбаних на Taobao, Xianyu та незалежних магазинах Shopify, а також 400 безоплатних маршрутизаторів, зібраних із відкритих спільнот. Результати показали, що 1 платний маршрутизатор і 8 безоплатних маршрутизаторів активно впроваджують шкідливий код, 2 розгорнуті адаптивно обходять тригери, що їх виявляють, 17 торкалися AWS Canary-облікових даних, якими володіють дослідники, а ще 1 із них викрав ETH із приватного ключа, що перебував у володінні дослідників.

Два дослідження отруєння додатково свідчать, що навіть здавалося б нешкідливі маршрутизатори можуть бути використані: витік ключа OpenAI застосовували для генерації 100 млн токенів GPT-5.4 і понад 7 сеансів Codex; натомість слабко налаштовані приманки створили 2 млрд платіжних токенів, 99 наборів облікових даних, що охоплюють 440 сеансів Codex, а також 401 сеанс, уже запущений у власному автономному режимі YOLO.

Дослідницька команда створила дослідницького агента під назвою Mine, який може реалізувати всі чотири типи атак на чотирьох публічних фреймворках проксі, а також перевірити три типи захисту на стороні клієнта: стратегію «відсічення за відмови» з блокуванням воріт, виявлення аномалій на стороні відповіді та лише додавання прозорих логів запису.