Claude Codeのソースコード流出事件の内部告発者の最新研究が明らかにし、市販のAI中継ステーションに潜むセキュリティリスクを暴露。実測により、一部の中継ステーションが証明書やウォレットの秘密鍵を盗み、悪意のあるコードを注入していることが判明し、サプライチェーン攻撃のポイントとなっている。
最近、「あなたの代理人は私のもの」(Your Agent Is Mine)という研究論文が発表され、その著者の一人は、先日最も早くClaude Codeのソースコード流出事件を暴露した内部告発者Chaofan Shouである。
この論文は、初めて大規模言語モデル(LLM)のサードパーティAPIルーター、いわゆる中継ステーションについて体系的なセキュリティ脅威の研究を行い、こうした中継ステーションがサプライチェーン攻撃のポイントとなり得ることを明らかにした。
LLMの呼び出しには大量のトークンが消費され、高額な計算コストが発生するため、AI中継ステーションはキャッシュを利用して繰り返しの問題背景説明を行うことで、顧客のコストを大幅に削減できる。
また、中継ステーションはモデルの自動割り当て機能を持ち、ユーザーの問題の難易度に応じて異なる課金基準や性能のモデルに動的に切り替え、単一モデルサーバーの切断時には自動的に予備モデルに切り替えて、サービスの接続を安定させる。
**中国では特に中継ステーションが盛んである。理由は、同国では特定の海外AI製品を直接利用できず、企業の課金のローカライズニーズもあるため、上流のモデルと下流の開発者をつなぐ重要な橋渡し役となっている。**OpenRouterやSiliconFlowなどのプラットフォームもこのサービス範疇に含まれる。
しかし、一見コスト削減と技術的ハードルの低減を実現しているように見える中継ステーションの裏には、非常に大きなセキュリティリスクが潜んでいる。
図源:研究論文 AI中継ステーションのサプライチェーン攻撃リスクを暴露
論文は、中継ステーションがネットワークアーキテクチャのアプリケーション層で動作し、伝送中のJSONペイロードデータに対して完全な平文読み取り権限を持つことを指摘している。
クライアントと上流モデル供給者間にはエンドツーエンドの暗号化完全性検証が欠如しているため、中継ステーションはAPIキーやシステムプロンプト、モデル出力のツール呼び出しパラメータを容易に閲覧・改ざんできる。
研究チームは、2026年3月に有名なオープンソースルーターLiteLLMが依存性の混乱攻撃を受け、攻撃者が悪意のあるコードをリクエスト処理パイプラインに注入できる脆弱性を指摘している。
研究チームは淘宝(Taobao)、閒魚(Xianyu)、Shopifyなどのプラットフォームから28の有料中継ステーションを購入し、公開コミュニティから収集した400の無料中継ステーションを対象に深度テストを実施。その結果、28の有料中継ステーションのうち1つと、400の無料中継ステーションのうち8つが積極的に悪意のコードを注入していることが判明した。
無料中継ステーションのサンプルでは、17の中継ステーションが研究者が構築したAWSの誘導証明書を使用しようと試み、1つの中継ステーションは研究者のEthereumウォレット内の暗号資産を直接盗み出した。
データは、外泄した上流証明書を繰り返し使用したり、流量をセキュリティが弱いノードに誘導した場合、正常に見える中継ステーションも攻撃面に巻き込まれることを示している。
また、毒性テストでは、こうした被害を受けたノードは合計で21億以上のトークンを処理し、440セッション中に99の実証証明書を露呈、さらに401のセッションは完全に自律運用状態(YOLOモード)にあり、攻撃者は複雑なトリガー条件なしに悪意のペイロードを直接注入できることが判明した。
図源:研究論文 実測で400以上の中継ステーションを調査、数十のAI中継ステーションに悪意の行動が確認される
論文は、悪意の中継ステーションの攻撃行動を二つの主要カテゴリと二つの適応回避変種に分類している。
常套手段を避けるため、攻撃者は依存性の目標注入手法も進化させており、ソフトウェアパッケージのインストールコマンド内のパッケージ名を改ざんし、正規のパッケージを公開レジストリに登録された同名または紛らわしい悪意のあるパッケージに置き換えることで、ターゲットシステムに持続的なサプライチェーンのバックドアを構築。
もう一つは条件式配信手法で、特定の条件下でのみ悪意の行動を発動させる。例えば、リクエスト回数が50回を超えた場合や、システムが完全自律運用状態(YOLOモード)にあると検知した場合に攻撃を開始し、安全性の検査を回避している。
AI中継の投毒サプライチェーン攻撃に対抗するため、論文は以下の三つの防御策を提案している。
クライアント側の防御策は現段階で一部リスクを低減できるが、根本的な送信者の認証の脆弱性を解決できない。中継ステーションの改ざん行為がクライアントの異常警報を引き起こさなければ、攻撃者は容易にプログラムの意味を変更し、破壊行為を行える。
AIエコシステムの安全性を徹底的に確保するには、最終的に上流のモデル供給者が暗号学的検証をサポートする応答メカニズムを提供する必要がある。モデルの出力結果とクライアント側の最終実行コマンドを厳格に暗号的に結びつけることで、エンドツーエンドのデータ完全性を保証し、中継ステーションによる改ざんリスクを根本から排除できる。
関連記事: OpenAIが使用するMixpanelの問題!一部ユーザの個人情報流出、フィッシングメールに注意
誤ったコピペで5千万ドル蒸発!暗号アドレスへの毒入り詐欺再燃、どう防ぐか
272.73K 人気度
982.27K 人気度
30.55K 人気度
198.41K 人気度
778.98K 人気度
まだ淘宝でAI中継ステーションを購入していますか?Claude Codeのソースコード流出の内部告発者:少なくとも数十人が毒を盛られた
Claude Codeのソースコード流出事件の内部告発者の最新研究が明らかにし、市販のAI中継ステーションに潜むセキュリティリスクを暴露。実測により、一部の中継ステーションが証明書やウォレットの秘密鍵を盗み、悪意のあるコードを注入していることが判明し、サプライチェーン攻撃のポイントとなっている。
Claude Codeのソースコード流出内部告発者、AI中継ステーションのセキュリティリスクを暴露
最近、「あなたの代理人は私のもの」(Your Agent Is Mine)という研究論文が発表され、その著者の一人は、先日最も早くClaude Codeのソースコード流出事件を暴露した内部告発者Chaofan Shouである。
この論文は、初めて大規模言語モデル(LLM)のサードパーティAPIルーター、いわゆる中継ステーションについて体系的なセキュリティ脅威の研究を行い、こうした中継ステーションがサプライチェーン攻撃のポイントとなり得ることを明らかにした。
AI中継ステーションとは何か?
LLMの呼び出しには大量のトークンが消費され、高額な計算コストが発生するため、AI中継ステーションはキャッシュを利用して繰り返しの問題背景説明を行うことで、顧客のコストを大幅に削減できる。
また、中継ステーションはモデルの自動割り当て機能を持ち、ユーザーの問題の難易度に応じて異なる課金基準や性能のモデルに動的に切り替え、単一モデルサーバーの切断時には自動的に予備モデルに切り替えて、サービスの接続を安定させる。
**中国では特に中継ステーションが盛んである。理由は、同国では特定の海外AI製品を直接利用できず、企業の課金のローカライズニーズもあるため、上流のモデルと下流の開発者をつなぐ重要な橋渡し役となっている。**OpenRouterやSiliconFlowなどのプラットフォームもこのサービス範疇に含まれる。
しかし、一見コスト削減と技術的ハードルの低減を実現しているように見える中継ステーションの裏には、非常に大きなセキュリティリスクが潜んでいる。
図源:研究論文 AI中継ステーションのサプライチェーン攻撃リスクを暴露
AI中継ステーションは完全アクセス権を持ち、サプライチェーン攻撃の脆弱性となる
論文は、中継ステーションがネットワークアーキテクチャのアプリケーション層で動作し、伝送中のJSONペイロードデータに対して完全な平文読み取り権限を持つことを指摘している。
クライアントと上流モデル供給者間にはエンドツーエンドの暗号化完全性検証が欠如しているため、中継ステーションはAPIキーやシステムプロンプト、モデル出力のツール呼び出しパラメータを容易に閲覧・改ざんできる。
研究チームは、2026年3月に有名なオープンソースルーターLiteLLMが依存性の混乱攻撃を受け、攻撃者が悪意のあるコードをリクエスト処理パイプラインに注入できる脆弱性を指摘している。
実測:数十のAI中継ステーションに悪意の行動
研究チームは淘宝(Taobao)、閒魚(Xianyu)、Shopifyなどのプラットフォームから28の有料中継ステーションを購入し、公開コミュニティから収集した400の無料中継ステーションを対象に深度テストを実施。その結果、28の有料中継ステーションのうち1つと、400の無料中継ステーションのうち8つが積極的に悪意のコードを注入していることが判明した。
無料中継ステーションのサンプルでは、17の中継ステーションが研究者が構築したAWSの誘導証明書を使用しようと試み、1つの中継ステーションは研究者のEthereumウォレット内の暗号資産を直接盗み出した。
データは、外泄した上流証明書を繰り返し使用したり、流量をセキュリティが弱いノードに誘導した場合、正常に見える中継ステーションも攻撃面に巻き込まれることを示している。
また、毒性テストでは、こうした被害を受けたノードは合計で21億以上のトークンを処理し、440セッション中に99の実証証明書を露呈、さらに401のセッションは完全に自律運用状態(YOLOモード)にあり、攻撃者は複雑なトリガー条件なしに悪意のペイロードを直接注入できることが判明した。
図源:研究論文 実測で400以上の中継ステーションを調査、数十のAI中継ステーションに悪意の行動が確認される
四大攻撃手法の公開
論文は、悪意の中継ステーションの攻撃行動を二つの主要カテゴリと二つの適応回避変種に分類している。
常套手段を避けるため、攻撃者は依存性の目標注入手法も進化させており、ソフトウェアパッケージのインストールコマンド内のパッケージ名を改ざんし、正規のパッケージを公開レジストリに登録された同名または紛らわしい悪意のあるパッケージに置き換えることで、ターゲットシステムに持続的なサプライチェーンのバックドアを構築。
もう一つは条件式配信手法で、特定の条件下でのみ悪意の行動を発動させる。例えば、リクエスト回数が50回を超えた場合や、システムが完全自律運用状態(YOLOモード)にあると検知した場合に攻撃を開始し、安全性の検査を回避している。
三つの有効な防御策
AI中継の投毒サプライチェーン攻撃に対抗するため、論文は以下の三つの防御策を提案している。
上流モデル供給者に暗号学的検証機能の構築を促す
クライアント側の防御策は現段階で一部リスクを低減できるが、根本的な送信者の認証の脆弱性を解決できない。中継ステーションの改ざん行為がクライアントの異常警報を引き起こさなければ、攻撃者は容易にプログラムの意味を変更し、破壊行為を行える。
AIエコシステムの安全性を徹底的に確保するには、最終的に上流のモデル供給者が暗号学的検証をサポートする応答メカニズムを提供する必要がある。モデルの出力結果とクライアント側の最終実行コマンドを厳格に暗号的に結びつけることで、エンドツーエンドのデータ完全性を保証し、中継ステーションによる改ざんリスクを根本から排除できる。
関連記事:
OpenAIが使用するMixpanelの問題!一部ユーザの個人情報流出、フィッシングメールに注意
誤ったコピペで5千万ドル蒸発!暗号アドレスへの毒入り詐欺再燃、どう防ぐか