Los agentes de IA están preparados para impulsar los pagos criptográficos, pero una falla oculta podría exponer las billeteras
La industria de las criptomonedas corre hacia un futuro en el que los agentes de IA se encargarán de todo, desde reservar vuelos hasta ejecutar transacciones y realizar pagos, pero una nueva investigación sugiere que la infraestructura que sustenta ese cambio puede no ser segura.
McKinsey proyectó recientemente que los agentes de IA podrían mediar entre 3 y 5 billones de dólares en comercio de consumo global para 2030.
El fundador de Coinbase, Brian Armstrong, dijo en X que "muy pronto" habrá más agentes de IA que humanos realizando transacciones en Internet. El fundador de Binance, Changpeng Zhao, fue más audaz y predijo que los agentes realizarán un millón de veces más pagos que las personas, todo en criptomonedas.
Pero un grupo de académicos de seguridad e investigadores de criptografía han publicado un artículo en el que explican que una pieza de infraestructura de inteligencia artificial que en gran medida se pasa por alto ya se está utilizando para robar credenciales e incluso vaciar carteras criptográficas.
Los autores de los artículos son investigadores afiliados a la Universidad de California, Santa Bárbara, la Universidad de California, San Diego, la empresa blockchain Fuzzland y World Liberty Financial.
Puntos de ataque poderosos
El equipo descubrió que los llamados "enrutadores LLM", o servicios que se ubican entre los usuarios y los modelos de IA, pueden actuar como un poderoso punto de ataque explotado por actores maliciosos. Estos enrutadores están diseñados para reenviar solicitudes a modelos como OpenAI o Anthropic, pero también tienen acceso completo a todo lo que pasa por ellos, incluidos los datos confidenciales.
"Los agentes de LLM han ido más allá de los asistentes conversacionales hacia sistemas que reservan vuelos, ejecutan código y administran la infraestructura en nombre de los usuarios", escribieron los investigadores, destacando la rapidez con la que estas herramientas están asumiendo tareas financieras y operativas del mundo real.
Los enrutadores o puntos de ataque LLM dejan a los usuarios extremadamente vulnerables, ya que suponen que están interactuando directamente con un modelo de IA confiable como OpenAI, Grok u otro, cuando en realidad muchas solicitudes pasan a través de servicios intermediarios que pueden ver y modificar esos datos, dijeron los investigadores.
Según uno de los investigadores, Chaofan Shou, el problema ya no es teórico. Escribió en X que "26 enrutadores LLM están inyectando secretamente llamadas a herramientas maliciosas y robando créditos. Uno agotó la billetera de nuestro cliente de $500 mil. También logramos envenenar enrutadores para reenviarnos tráfico. En varias horas, podemos tomar directamente más de ~400 hosts".
"Un enrutador malicioso puede reemplazar un comando benigno con uno controlado por un atacante o exfiltrar silenciosamente cada credencial que pasa a través de él", escribieron los investigadores.
Los investigadores dijeron que debido a que estos sistemas pueden operar de forma autónoma, incluida la aprobación y ejecución frecuente de acciones sin revisión humana, una sola instrucción alterada puede comprometer inmediatamente los sistemas o los fondos.
Para los usuarios de criptomonedas, las implicaciones son graves, ya que las claves privadas, las credenciales de API y los tokens de acceso a billeteras a menudo pasan a través de estos sistemas en texto sin formato. Los investigadores encontraron múltiples casos en los que los enrutadores simplemente recopilaron esos secretos, revela el artículo. En un caso, una billetera Ethereum de prueba se vació después de que se expuso su clave privada.
"Una vez expuestas, las credenciales como las claves privadas se pueden copiar y reutilizar sin el conocimiento del usuario", señalaron los autores del artículo.
Riesgos en cascada
El equipo también demostró lo fácil que es ampliar el ataque. Al "envenenar" partes del ecosistema de enrutadores, esencialmente engañando a los servicios para que reenvíen el tráfico, pudieron observar y potencialmente controlar cientos de sistemas posteriores en cuestión de horas.
"Un solo enrutador malicioso en la cadena es suficiente para comprometer todo el sistema", escribieron los investigadores, subrayando lo que describen como un problema del eslabón más débil.
Eso sugiere un riesgo en cascada de que incluso si un usuario confía en su proveedor de IA, la infraestructura intermedia puede no ser confiable, afirmaron en su artículo.
Eso crea un posible desajuste a medida que los líderes de la industria predicen cada vez más que los agentes de IA manejarán una proporción cada vez mayor de la actividad criptográfica, mientras que la infraestructura subyacente aún carece de garantías de que los resultados no hayan sido manipulados, agregaron.