Expertos en ciberseguridad descubren sofisticados dispositivos de red capaces de saquear billeteras digitales mediante inteligencia artificial.
Investigadores de la Universidad de California han descubierto que algunos enrutadores de modelos de lenguaje grande (LLM) de IA de terceros pueden presentar vulnerabilidades de seguridad que pueden conducir al robo de criptomonedas.
Un artículo que mide los ataques de intermediarios maliciosos en la cadena de suministro de LLM, publicado el jueves por los investigadores, reveló cuatro vectores de ataque, incluida la inyección de código malicioso y la extracción de credenciales.
"26 enrutadores LLM están inyectando secretamente llamadas a herramientas maliciosas y robando créditos", dijo el coautor del artículo, Chaofan Shou, en X.
Los agentes de LLM enrutan cada vez más las solicitudes a través de intermediarios API de terceros o enrutadores que agregan acceso a proveedores como OpenAI, Anthropic y Google. Sin embargo, estos enrutadores terminan las conexiones TLS (Seguridad de la capa de transporte) de Internet y tienen acceso completo en texto plano a cada mensaje.
Esto significa que los desarrolladores que utilizan agentes de codificación de IA como Claude Code para trabajar en contratos o billeteras inteligentes podrían estar pasando claves privadas, frases iniciales y datos confidenciales a través de una infraestructura de enrutador que no ha sido examinada ni asegurada.
Cadena de suministro de enrutadores LLM de múltiples saltos. Fuente: arXiv.org
$ETH robado de una billetera criptográfica señuelo
Los investigadores probaron 28 enrutadores pagos y 400 enrutadores gratuitos recopilados de comunidades públicas.
Sus hallazgos fueron sorprendentes: nueve enrutadores inyectaron activamente código malicioso, dos implementaron activadores de evasión adaptativos, 17 accedieron a credenciales de Amazon Web Services propiedad de los investigadores y uno extrajo Ether ($ETH) de una clave privada propiedad de los investigadores.
Relacionado: Anthropic limita el acceso al modelo de IA por preocupaciones de ciberataques
Los investigadores prefinanciaron las “llaves señuelo” de la billetera Ethereum con saldos nominales e informaron que el valor perdido en el experimento fue inferior a $50, pero no proporcionaron más detalles como el hash de la transacción.
Los autores también realizaron dos “estudios de envenenamiento” que muestran que incluso los enrutadores benignos se vuelven peligrosos una vez que reutilizan credenciales filtradas a través de relés débiles.
Es difícil saber si los enrutadores son maliciosos
Los investigadores dijeron que no era fácil detectar cuándo un enrutador era malicioso.
"El límite entre 'manejo de credenciales' y 'robo de credenciales' es invisible para el cliente porque los enrutadores ya leen secretos en texto plano como parte del reenvío normal".
Otro hallazgo inquietante fue lo que los investigadores llamaron "modo YOLO". Esta es una configuración en muchos marcos de agentes de IA donde el agente ejecuta comandos automáticamente sin pedirle al usuario que confirme cada uno.
Los enrutadores previamente legítimos pueden convertirse en armas silenciosamente sin que el operador lo sepa, mientras que los enrutadores gratuitos pueden estar robando credenciales y ofreciendo acceso API barato como señuelo, encontraron los investigadores.
"Los enrutadores API LLM se encuentran en un límite de confianza crítico que el ecosistema actualmente trata como transporte transparente".
Los investigadores recomendaron que los desarrolladores que utilizan agentes de IA para codificar deberían reforzar las defensas del lado del cliente, sugiriendo nunca permitir que claves privadas o frases iniciales transiten por una sesión de agente de IA.
La solución a largo plazo es que las empresas de inteligencia artificial firmen criptográficamente sus respuestas para que se pueda verificar matemáticamente que las instrucciones que ejecuta un agente provienen del modelo real.
Revista: Nadie sabe si la criptografía cuántica segura funcionará siquiera