Ainda comprando estações de transferência de IA no Taobao? Denunciante do código-fonte do Claude Code: pelo menos dezenas foram envenenadas

Revelações do mais recente estudo sobre o denunciante do vazamento do código do Claude, revelando que os pontos de transferência de IA no mercado escondem riscos de segurança. Testes práticos mostram que alguns pontos de transferência roubam credenciais, chaves privadas de carteiras ou injetam códigos maliciosos, tornando-se pontos de ataque na cadeia de suprimentos.

Denunciante do vazamento do código do Claude revela riscos de segurança em pontos de transferência de IA

Recentemente foi publicado um artigo de pesquisa intitulado “Seu Agente é Meu” (Your Agent Is Mine), cujo um dos autores é Chaofan Shou, o denunciante que revelou inicialmente o vazamento do código do Claude.

Este artigo realiza, pela primeira vez, um estudo sistemático de ameaças de segurança em roteadores de API de terceiros para grandes modelos de linguagem (LLM), ou seja, os chamados pontos de transferência, e revela que esses pontos podem se tornar nós de ataque na cadeia de suprimentos.

O que é um ponto de transferência de IA?

Como a chamada de LLM consome uma grande quantidade de tokens, gerando custos elevados de computação, os pontos de transferência de IA podem usar cache para repetir perguntas e contextos, ajudando os clientes a economizar significativamente nos custos.

Ao mesmo tempo, esses pontos possuem funções de alocação automática de modelos, podendo, de acordo com a dificuldade da questão do usuário, alternar dinamicamente entre modelos com diferentes padrões de cobrança e desempenho, além de trocar automaticamente para modelos de backup quando o servidor principal falha, garantindo a estabilidade do serviço.

Pontos de transferência são especialmente populares na China, pois o país não consegue usar diretamente certos produtos de IA estrangeiros, além da demanda por localidade na cobrança, tornando esses pontos uma ponte importante entre modelos upstream e desenvolvedores downstream. Plataformas como OpenRouter e SiliconFlow também pertencem a essa categoria de serviço.

No entanto, embora pareçam reduzir custos e facilitar o acesso técnico, esses pontos escondem riscos de segurança extremamente elevados.

Fonte: artigo de pesquisa revela riscos de ataque na cadeia de suprimentos de pontos de transferência de IA

Pontos de transferência de IA têm acesso completo, tornando-se vulneráveis a ataques na cadeia de suprimentos

O estudo aponta que os pontos de transferência operam na camada de aplicação da arquitetura de rede, tendo acesso completo ao conteúdo de cargas JSON durante a transmissão.

Devido à falta de uma verificação de integridade de criptografia ponta a ponta entre o cliente e o fornecedor do modelo upstream, os pontos de transferência podem facilmente visualizar e modificar chaves de API, prompts do sistema e parâmetros de chamadas de ferramentas na saída do modelo.

A equipe de pesquisa destacou que, já em março de 2026, o roteador de código aberto LiteLLM foi alvo de um ataque de confusão de dependências, permitindo que atacantes injetassem código malicioso no pipeline de processamento de requisições, evidenciando a vulnerabilidade dessa etapa.

• Notícia relacionada:** Resumo do ataque de envenenamento ao LiteLLM: como verificar se carteiras criptográficas e chaves na nuvem foram comprometidas?**

Testes práticos mostram comportamento malicioso em dezenas de pontos de transferência

A equipe comprou 28 pontos de transferência pagos em plataformas como Taobao, Xianyu e Shopify, além de coletar 400 pontos de transferência gratuitos de comunidades públicas para testes aprofundados, e os resultados mostraram que 1 ponto de transferência pago e 8 gratuitos injetaram códigos maliciosos ativamente.

Entre os pontos gratuitos, 17 tentaram usar credenciais AWS criadas pelos pesquisadores, e 1 deles chegou a roubar criptomoedas da carteira Ethereum dos pesquisadores.

Dados adicionais indicam que, ao reutilizar credenciais upstream vazadas ou direcionar tráfego para nós com menor proteção, mesmo pontos aparentemente normais podem ser envolvidos na mesma superfície de ataque.

Durante os testes de infecção, a equipe descobriu que esses nós afetados processaram mais de 2,1 bilhões de tokens, expondo 99 credenciais reais em 440 sessões, sendo que 401 estavam operando de forma totalmente autônoma, permitindo que atacantes injetassem cargas maliciosas facilmente, sem necessidade de condições complexas de disparo.

Fonte: artigo de pesquisa revela que mais de 400 pontos de transferência foram testados, com dezenas apresentando comportamentos maliciosos

Quatro principais técnicas de ataque expostas

O estudo categoriza as ações maliciosas em pontos de transferência em duas categorias principais e duas variantes de evasão adaptativa.

• Ataque de injeção de carga: após o retorno do resultado do modelo upstream, o ponto de transferência altera silenciosamente os parâmetros de chamada de ferramenta, como substituir URLs legítimos por servidores controlados pelo atacante, levando o cliente a executar código malicioso.
• Vazamento de informações confidenciais: o ponto de transferência intercepta e rouba chaves de API, credenciais de serviços de nuvem como AWS e chaves privadas de Ethereum, através de varredura passiva do tráfego.

Para evitar detecção de segurança convencional, os atacantes evoluíram para técnicas de injeção de dependências, alterando nomes de pacotes em comandos de instalação de software, substituindo pacotes legítimos por versões maliciosas com nomes iguais ou confusos, publicados em repositórios públicos, criando backdoors persistentes na cadeia de suprimentos.

Outra técnica é a entrega condicional, onde ações maliciosas só são ativadas sob certas condições, como quando o número de requisições ultrapassa 50 ou quando o sistema está operando de forma totalmente autônoma (modo YOLO), para evitar testes de segurança limitados.

Três medidas de defesa viáveis

Diante de ataques de cadeia de suprimentos que envenenam pontos de transferência de IA, o estudo propõe três medidas de defesa:

• Implementar políticas de controle para ferramentas de alto risco: verificando e bloqueando domínios ou comandos de instalação não autorizados, essa medida consegue bloquear a maioria dos ataques de injeção de carga com uma taxa de erro de 1%.
• Mecanismo de filtragem de anomalias na resposta: capaz de marcar 89% das cargas maliciosas com uma taxa de erro de 6,7%, auxiliando na revisão manual por desenvolvedores.
• Registro de logs de transparência adicional: embora não previna ataques, registra hashes de requisições e respostas, permitindo rastreamento e avaliação de danos em incidentes de segurança.

Apelo aos fornecedores upstream para implementar mecanismos de verificação criptográfica

Embora as defesas no cliente possam reduzir alguns riscos atualmente, elas não resolvem a vulnerabilidade fundamental na verificação de identidade de origem. Desde que as modificações feitas nos pontos de transferência não acionem alertas de anomalia no cliente, atacantes podem facilmente alterar a semântica da execução do programa e causar danos.

Para garantir a segurança do ecossistema de agentes de IA de forma definitiva, é necessário que os fornecedores upstream ofereçam suporte a mecanismos de verificação criptográfica nas respostas. Somente vinculando de forma rigorosa os resultados do modelo às instruções finais executadas pelo cliente, por meio de criptografia, será possível assegurar a integridade ponta a ponta dos dados e prevenir integralmente os riscos de cadeia de suprimentos causados por alterações nos pontos de transferência.

Leituras adicionais:
OpenAI usa o Mixpanel e ocorreu vazamento de dados de alguns usuários! Cuidado com e-mails de phishing

Um erro de copiar e colar fez 50 milhões de dólares evaporarem! Fraudes com endereços criptográficos e injeções de código, como se prevenir?