Засновник Solayer попереджає: ризик зловмисного ін’єктування через AI-агентні маршрутизатори, викрадення ETH

Засновник Solayer @Fried_rice 10 квітня опублікував допис у соціальних мережах, розкривши системні вразливості безпеки в сторонніх роутерах API, від яких широко залежать агенти на базі великих мовних моделей (LLM). Дослідницькі тести охопили 428 роутерів і виявили, що понад 20% мають зловмисні дії або ризики безпеки різного ступеня; один із них фактично викрав ETH із приватного ключа, який належав дослідникам.

Методика дослідження та ключові висновки: тести безпеки 428 роутерів

Дослідницька команда протестувала 28 платних роутерів, придбаних на Taobao, Xianyu та незалежних сайтах Shopify, а також 400 безкоштовних роутерів, зібраних із відкритих спільнот. Метод полягав у тому, щоб у роутер вбудувати приманку, яка містить AWS Canary-облікові дані та приватні ключі від криптовалюти, і відстежити, які роутери активно звертаються або зловживають цією чутливою інформацією.

Ключові дані результатів тестування

Активна зловмисна ін’єкція: 1 платний роутер і 8 безкоштовних роутерів активно впроваджують зловмисний код

Адаптивне обходження механізмів: 2 роутери розгорнули адаптивні тригери, здатні обходити базові перевірки

Аномальний доступ до облікових даних: 17 роутерів торкнулися AWS Canary-облікових даних, що належали дослідникам

Фактичне викрадення активів: 1 роутер успішно викрав ETH із приватного ключа дослідників

Подальші дослідження отруєнь (poisoning) показали масштаб ризику. Злився OpenAI-ключ був використаний для генерації 100 мільйонів GPT-5.4 Token і понад 7 Codex-сесій; а слабші за налаштуванням приманки спричинили 2 мільярди платіжних Token, 99 наборів облікових даних, що охопили 440 Codex-сесій, і 401 агентську сесію, які вже працювали в автономному режимі YOLO.

Рамка захисту: три механізми захисту клієнта для верифікації Mine-агентів

Дослідницька команда створила дослідницького агента під назвою Mine, який здатен виконати всі чотири типи атак проти чотирьох публічних фреймворків агентів, а також перевірила три ефективні варіанти захисту клієнта:

Стратегія блокування при збої (fault close) керує «брама» (gating) у момент, коли агент виявляє аномальну поведінку, обмежуючи діапазон його автономного виконання, щоб не допустити розширення шкоди, якою можуть керувати зловмисні роутери. Відповідний端 (response end) аномальний фільтр виконує незалежну валідацію контенту, який роутер повертає клієнту, щоб виявляти підроблені виходи. Лише додавання прозорих логів (Append-only Transparent Logging) створює незмінюваний трасувальний аудиторський слід операцій, завдяки чому аномальна поведінка може бути відстежена в майбутньому.

Ключовий аргумент дослідження: нинішня екосистема LLM-роутерів не має стандартизованого захисту цілісності з криптографією; розробникам не слід покладатися на саморегуляцію постачальників, а потрібно створювати незалежний механізм верифікації цілісності на рівні клієнта.

Екосистемний контекст Solayer: infiniSVM і екофонд на 35 мільйонів доларів

На тлі оголошення цього дослідження безпеки Solayer у січні цього року вже повідомила про створення екофонду на 35 мільйонів доларів США для підтримки проєктів на ранній і стадії росту, що базуються на мережі infiniSVM. infiniSVM — це Layer-1 блокчейн, сумісний із інструментами Solana, який продемонстрував пропускну здатність понад 330 тис. транзакцій на секунду (TPS) і час фіналізації близько 400 мілісекунд. Фонд робить акцент на підтримці DeFi, платіжних систем, AI-керованих систем і токенізованих реальних світових активів (RWA); як критерій успіху використовують дохід від протоколу та фактичні обсяги транзакцій.

Поширені запитання

Чому зловмисна ін’єкція в LLM-роутери важко помітна для користувачів?

Оскільки LLM API-роутери працюють як агенти на рівні застосунків, вони можуть у відкритому вигляді отримувати доступ до JSON-навантаження під час передачі, а нині в індустрії не існує жодної стандартної вимоги змушувати клієнт виконувати криптографічну верифікацію цілісності між клієнтом і висхідною (upstream) моделлю. Зловмисний роутер може викрасти облікові дані або вбудувати зловмисні інструкції під час пересилання запиту; увесь процес для кінцевого користувача повністю прозорий і невидимий.

Чому агентські сесії в режимі YOLO є сценарієм з високим ризиком?

Режим YOLO означає, що AI-агент автономно виконує дії без нагляду людини. Дослідження виявило 401 сесію, яка вже працювала в цьому режимі; це означає, що якщо агентом керує зловмисний роутер, його здатність до автономного виконання буде використана атакувальником, а потенційна шкода значно перевищить лише викрадення облікових даних — і може спричинити ланцюгові автоматизовані зловмисні операції.

Як розробникам убезпечитися від атак на ланцюг постачання LLM-роутерів?

Дослідницька команда рекомендує застосувати трирівневу архітектуру захисту: розгорнути стратегію блокування при збої (fault close) і «брама» (gating), щоб обмежити діапазон автономного виконання агента; увімкнути аномальну фільтрацію на стороні відповіді для виявлення підроблених виходів; і створити лише додавання прозорих логів (Append-only Transparent Logging), щоб гарантувати відстежуваність операцій. Головний принцип — не покладатися на саморегуляцію постачальника роутера, а натомість створити незалежний рівень верифікації цілісності на рівні клієнта.