محققان روترهای مخرب AI Agent را کشف کردند که می‌توانند کریپتو بدزدند

محققان دانشگاه کالیفرنیا کشف کرده‌اند که برخی از روترهای مدل زبانی بزرگ هوش مصنوعی (LLM) شخص ثالث می‌توانند آسیب‌پذیری‌های امنیتی ایجاد کنند که منجر به سرقت کریپتو می‌شود. 

مقاله‌ای که حملات واسطه‌ای مخرب در زنجیره تأمین LLM را اندازه‌گیری می‌کند و روز پنج‌شنبه توسط محققان منتشر شد، چهار بردار حمله را فاش کرد، از جمله تزریق کد مخرب و استخراج اعتبارنامه‌ها. 

"۲۶ روتر LLM به طور مخفیانه فراخوانی‌های ابزار مخرب تزریق می‌کنند و اعتبارنامه‌ها را می‌دزدند"، چائوفان شو، نویسنده مشترک مقاله، در X گفت.

عوامل LLM به طور فزاینده‌ای درخواست‌ها را از طریق واسطه‌ها یا روترهای API شخص ثالث که دسترسی به ارائه‌دهندگانی مانند OpenAI، Anthropic و Google را جمع‌آوری می‌کنند، مسیریابی می‌کنند. با این حال، این روترها اتصالات TLS (امنیت لایه انتقال) اینترنت را قطع می‌کنند و دسترسی کامل متن ساده به هر پیام را دارند. 

این بدان معناست که توسعه‌دهندگانی که از عوامل کدنویسی هوش مصنوعی مانند Claude Code برای کار روی قراردادهای هوشمند یا کیف پول‌ها استفاده می‌کنند، ممکن است کلیدهای خصوصی، عبارات بذر و داده‌های حساس را از طریق زیرساخت روتر که غربالگری یا ایمن نشده است، عبور دهند.

ETH از یک کیف پول کریپتو فریب سرقت شد 

محققان ۲۸ روتر پولی و ۴۰۰ روتر رایگان جمع‌آوری شده از جوامع عمومی را آزمایش کردند. 

یافته‌های آنها حیرت‌انگیز بود، به طوری که نه روتر به طور فعال کد مخرب تزریق می‌کردند، دو روتر محرک‌های اجتناب تطبیقی را مستقر می‌کردند، ۱۷ روتر به اعتبارنامه‌های خدمات وب آمازون متعلق به محققان دسترسی داشتند، و یکی Ether (ETH) را از یک کلید خصوصی متعلق به محقق تخلیه کرد.

مرتبط: Anthropic دسترسی به مدل هوش مصنوعی را به دلیل نگرانی‌های حمله سایبری محدود می‌کند

محققان "کلیدهای فریب" کیف پول اتریوم را با موجودی اسمی پیش‌پرداخت کردند و گزارش دادند که ارزش از دست رفته در آزمایش کمتر از ۵۰ دلار بود، اما جزئیات بیشتری مانند هش تراکنش ارائه نشد. 

نویسندگان همچنین دو "مطالعه مسمومیت" انجام دادند که نشان می‌دهد حتی روترهای خوش‌خیم زمانی که اعتبارنامه‌های نشت یافته را از طریق رله‌های ضعیف استفاده مجدد می‌کنند، خطرناک می‌شوند.

تشخیص مخرب بودن روترها دشوار است

محققان گفتند که تشخیص زمانی که یک روتر مخرب است آسان نیست.  

یافته نگران‌کننده دیگر چیزی بود که محققان آن را "حالت YOLO" نامیدند. این تنظیمی در بسیاری از چارچوب‌های عامل هوش مصنوعی است که در آن عامل دستورات را به طور خودکار بدون درخواست تأیید هر یک از کاربر اجرا می‌کند.

محققان دریافتند که روترهای قانونی قبلی می‌توانند به طور خاموش بدون اینکه اپراتور حتی بداند، تسلیحاتی شوند، در حالی که روترهای رایگان ممکن است در حین ارائه دسترسی ارزان API به عنوان طعمه، اعتبارنامه‌ها را بدزدند.

محققان توصیه کردند که توسعه‌دهندگانی که از عوامل هوش مصنوعی برای کدنویسی استفاده می‌کنند باید دفاع سمت مشتری را تقویت کنند و پیشنهاد کردند که هرگز اجازه ندهند کلیدهای خصوصی یا عبارات بذر از یک جلسه عامل هوش مصنوعی عبور کنند.

راه حل بلندمدت این است که شرکت‌های هوش مصنوعی پاسخ‌های خود را به صورت رمزنگاری امضا کنند تا دستوراتی که یک عامل اجرا می‌کند بتواند به صورت ریاضی تأیید شود که از مدل واقعی می‌آید. 

مجله: هیچ کس نمی‌داند که آیا رمزنگاری ایمن کوانتومی حتی کار خواهد کرد