Les experts en cybersécurité découvrent des dispositifs réseau sophistiqués capables de piller les portefeuilles numériques grâce à l'intelligence artificielle.
Des chercheurs de l’Université de Californie ont découvert que certains routeurs LLM (Large Language Model) tiers d’IA peuvent présenter des vulnérabilités de sécurité pouvant conduire à un vol de cryptographie.
Un article mesurant les attaques intermédiaires malveillantes sur la chaîne d'approvisionnement LLM, publié jeudi par les chercheurs, a révélé quatre vecteurs d'attaque, notamment l'injection de code malveillant et l'extraction d'informations d'identification.
"26 routeurs LLM injectent secrètement des appels d'outils malveillants et volent des crédits", a déclaré le co-auteur de l'article, Chaofan Shou, sur X.
Les agents LLM acheminent de plus en plus les demandes via des intermédiaires API tiers ou des routeurs qui regroupent l'accès à des fournisseurs comme OpenAI, Anthropic et Google. Cependant, ces routeurs mettent fin aux connexions Internet TLS (Transport Layer Security) et ont un accès complet en texte clair à chaque message.
Cela signifie que les développeurs utilisant des agents de codage d'IA tels que Claude Code pour travailler sur des contrats ou des portefeuilles intelligents pourraient transmettre des clés privées, des phrases de départ et des données sensibles via une infrastructure de routeur qui n'a pas été filtrée ou sécurisée.
Chaîne d'approvisionnement des routeurs LLM multi-sauts. Source : arXiv.org
$ETH volé dans un portefeuille crypto leurre
Les chercheurs ont testé 28 routeurs payants et 400 routeurs gratuits collectés auprès des communautés publiques.
Leurs découvertes ont été surprenantes : neuf routeurs injectent activement du code malveillant, deux déploient des déclencheurs d'évasion adaptatifs, 17 accèdent aux informations d'identification Amazon Web Services appartenant aux chercheurs et un draine de l'Ether ($ ETH) d'une clé privée appartenant à un chercheur.
Related: Anthropic limite l'accès au modèle d'IA en raison de problèmes de cyberattaque
Les chercheurs ont préfinancé les « clés leurres » du portefeuille Ethereum avec des soldes nominaux et ont signalé que la valeur perdue dans l’expérience était inférieure à 50 $, mais aucun autre détail tel que le hachage de la transaction n’a été fourni.
Les auteurs ont également mené deux « études d’empoisonnement » montrant que même les routeurs inoffensifs deviennent dangereux une fois qu’ils réutilisent des informations d’identification divulguées via des relais faibles.
Difficile de savoir si les routeurs sont malveillants
Les chercheurs ont déclaré qu’il n’était pas facile de détecter lorsqu’un routeur était malveillant.
"La frontière entre la "gestion des informations d'identification" et le "vol d'informations d'identification" est invisible pour le client car les routeurs lisent déjà les secrets en clair dans le cadre du transfert normal."
Une autre découverte troublante est ce que les chercheurs ont appelé le « mode YOLO ». Il s'agit d'un paramètre dans de nombreux frameworks d'agents IA où l'agent exécute automatiquement les commandes sans demander à l'utilisateur de confirmer chacune d'entre elles.
Selon les chercheurs, des routeurs auparavant légitimes peuvent être utilisés silencieusement comme une arme sans même que l'opérateur le sache, tandis que des routeurs gratuits peuvent voler des informations d'identification tout en offrant un accès API bon marché comme leurre.
"Les routeurs API LLM se situent sur une limite de confiance critique que l'écosystème traite actuellement comme un transport transparent."
Les chercheurs ont recommandé aux développeurs utilisant des agents d’IA pour coder de renforcer les défenses côté client, suggérant de ne jamais laisser les clés privées ou les phrases de départ transiter par une session d’agent d’IA.
La solution à long terme consiste pour les sociétés d’IA à signer cryptographiquement leurs réponses afin que les instructions exécutées par un agent puissent être mathématiquement vérifiées comme provenant du modèle réel.
Magazine : Personne ne sait si la cryptographie sécurisée quantique fonctionnera même