Az MI‑ügynökök küzdenek a router támadásokra való sebezhetőséggel

Kritikus sebezhetőség az AI‑ügynök láncolatában: routerek

A routerek (API‑közvetítők), amelyek a helyi ügynöki alkalmazásokat a felhőbeli MI‑modellekkel kapcsolják össze, kevésbé ismert, de rendkívül veszélyes támadási pontot jelentenek. A Santa Barbara-i Kaliforniai Egyetem kutatói bemutatták, mennyire könnyen ki lehet használni ezt a sebezhetőséget.

Mi az AI‑router?
* Szerep – proxy a kliensalkalmazás és a modellszolgáltató (OpenAI, Anthropic, Google) között.
* Hozzáférés – teljes hozzáférés minden JSON‑csomaghoz, amelyon keresztül halad.
* Biztonság – a legtöbb nagy szolgáltató nem alkalmaz kriptográfiai adatintegritást; ezért a router módosíthatja a kéréseket észlelés nélkül.

Hogyan ellenőrizték a fenyegetést a kutatók
1. Hozzáférést szereztek 28 kereskedelmi routerhez (Taobao, Xianyu, Shopify) és elemeztek 400 ingyenes nyílt közösségi példányt. Több potenciálisan veszélyes pontot találtak.
2. Payload‑t telepítettek, cserélik a letöltő URL-jét vagy a csomagnevet egy saját irányított erőforrásra. A módosított JSON minden automatikus ellenőrzést átment; egy módosított `curl` parancs végezett tetszőleges kódot a kliensnél.
3. Az OpenAI API‑kulcs el lett szivárgva, és megfigyelték, ahogy a támadók 100 millió GPT‑5 token generálására használják.
4. A Codex sessionokban felfedtek hitelesítési adatokat.
5. 20 speciálisan sebezhető routert telepítettek 20 IP‑címre, és figyelték tevékenységüket: 40 000 nem engedélyezett hozzáférési kísérlet, ~2 milliárd fizetett token, 99 hitelesítési adathalmaz 440 Codex sessionban (398 projekt). 401 közül 440 sessionban a YOLO autónomos mód aktiválva volt, amely lehetővé teszi az ügynök számára, hogy bármilyen parancsot végrehajtson jóváhagyás nélkül.

Miért olyan veszélyes
* Támadás egyszerűsége – nem szükséges tanúsítványok hamisítása; a kliens maga adja meg az API végpontját.
* Integritási ellenőrzés hiánya – rosszindulatú router módosíthatja azt a parancsot, amelyet az ügynök végrehajt.
* Biztonságlan szolgáltatások – még „jóhiszemű” közvetítők is támadási vektorokká válhatnak.

Hogyan védekezzen a szolgáltató nélkül
1. A modellválaszok aláírása – ideális megoldás, de jelenleg nagy szolgáltatók nincsenek ilyen funkcióval (DKIM-szerű e‑mail).
2. Többrétegű védelmi intézkedés a kliens oldalon – tekintse minden routert potenciális ellenfélnek:
* JSON‑struktúra és tartalom érvényesítése.
* URL, HTTP‑módszerek és payload korlátozása.
* Naplózás és gyanús tevékenység monitorozása.
3. API‑kulcsok hozzáférésének korlátozása – tárolja a kulcsokat biztonságos tárolókban, alkalmazzon forgatást és minimális jogosultságot.

Összegzés
Az AI‑modell parancsának eredetét nem lehet ellenőrizni aláírás nélkül a szolgáltató részéről. Míg ilyen mechanizmusok még nem jelentkeznek, a felhasználóknak a kliens oldalon kell védeniük magukat, gondosan ellenőrizve minden köztes szolgáltatást és szigorú biztonsági politikákat bevezetve.