Агенты искусственного интеллекта настроены на поддержку криптовалютных платежей, но скрытый недостаток может раскрыть кошельки

Криптовалютная индустрия движется к будущему, в котором агенты искусственного интеллекта будут заниматься всем: от бронирования рейсов до совершения сделок и осуществления платежей, но новые исследования показывают, что инфраструктура, лежащая в основе этого перехода, может быть небезопасной.

McKinsey недавно прогнозировала, что к 2030 году агенты искусственного интеллекта смогут стать посредниками в мировой потребительской торговле на сумму от 3 до 5 триллионов долларов.

Основатель Coinbase Брайан Армстронг заявил на X, что «очень скоро» агентов искусственного интеллекта будет больше, чем людей, совершающих транзакции в Интернете. Основатель Binance Чанпэн Чжао был более смелым, предсказывая, что агенты будут совершать в миллион раз больше платежей, чем люди, и все в криптовалюте.

Но группа ученых в области безопасности и исследователей криптовалют опубликовала документ, в котором объясняется, что часто игнорируемая часть инфраструктуры искусственного интеллекта уже используется для кражи учетных данных и даже опустошения криптокошельков.

Авторами статей являются исследователи, связанные с Калифорнийским университетом в Санта-Барбаре, Калифорнийским университетом в Сан-Диего, блокчейн-фирмой Fuzzland и World Liberty Financial.

Мощные точки атаки

Команда обнаружила, что так называемые «маршрутизаторы LLM» или сервисы, которые находятся между пользователями и моделями ИИ, могут выступать в качестве мощной точки атаки, которую используют злоумышленники. Эти маршрутизаторы предназначены для пересылки запросов к таким моделям, как OpenAI или Anthropic, но они также имеют полный доступ ко всему, что проходит через них, включая конфиденциальные данные.

«Агенты LLM вышли за рамки диалоговых помощников и превратились в системы, которые бронируют рейсы, выполняют код и управляют инфраструктурой от имени пользователей», — пишут исследователи, подчеркивая, насколько быстро эти инструменты решают реальные финансовые и операционные задачи.

По словам исследователей, маршрутизаторы LLM или точки атаки делают пользователей чрезвычайно уязвимыми, поскольку они предполагают, что взаимодействуют напрямую с авторитетной моделью искусственного интеллекта, такой как OpenAI, Grok или другая, тогда как на самом деле многие запросы проходят через промежуточные службы, которые могут видеть и изменять эти данные, говорят исследователи.

По словам одного из исследователей Чаофань Шоу, проблема уже не носит теоретического характера. Он написал на X, что "26 маршрутизаторов LLM тайно внедряют вредоносные вызовы инструментов и крадут кредиты. Один из них опустошил кошелек нашего клиента на 500 тысяч долларов. Нам также удалось отравить маршрутизаторы, чтобы они пересылали нам трафик. В течение нескольких часов мы можем напрямую захватить более ~ 400 хостов".

«Вредоносный маршрутизатор может подменить безобидную команду командой, контролируемой злоумышленником, или незаметно украсть все учетные данные, которые проходят через него», — пишут исследователи.

Исследователи заявили, что, поскольку эти системы могут работать автономно, в том числе часто утверждать и выполнять действия без человеческого контроля, одна измененная инструкция может немедленно поставить под угрозу системы или средства.

Для пользователей криптовалют последствия будут серьезными, поскольку закрытые ключи, учетные данные API и токены доступа к кошельку часто проходят через эти системы в виде обычного текста. Исследователи обнаружили несколько случаев, когда маршрутизаторы просто собирали эти секреты, говорится в документе. В одном случае тестовый кошелек Ethereum был опустошен после того, как был раскрыт его закрытый ключ.

«После раскрытия учетные данные, такие как закрытые ключи, могут быть скопированы и повторно использованы без ведома пользователя», — отмечают авторы статьи.

Каскадные риски

Команда также продемонстрировала, насколько легко расширить атаку. «Отравляя» части экосистемы маршрутизаторов, по сути заставляя сервисы пересылать трафик, они смогли наблюдать и потенциально контролировать сотни нижестоящих систем в течение нескольких часов.

«Одного вредоносного маршрутизатора в цепочке достаточно, чтобы скомпрометировать всю систему», — пишут исследователи, подчеркивая то, что они называют проблемой самого слабого звена.

Это предполагает каскадный риск: даже если пользователь доверяет своему поставщику ИИ, промежуточная инфраструктура может не заслуживать доверия, заявили они в своей статье.

Это создает потенциальное несоответствие, поскольку лидеры отрасли все чаще предсказывают, что агенты ИИ будут обрабатывать растущую долю криптоактивности, в то время как базовой инфраструктуре по-прежнему не хватает гарантий того, что выходные данные не были подделаны, добавили они.