Investigadores Alertan: Routers de IA Maliciosos Roban Claves y Cripto en la Cadena de Suministro de LLM

Investigadores de seguridad de la Universidad de California han descubierto vulnerabilidades críticas en routers de terceros utilizados para acceder a modelos de lenguaje grande (LLM) como los de OpenAI, Anthropic y Google. Según un estudio, estos intermediarios pueden actuar de forma maliciosa, inyectando código, robando credenciales e incluso drenando fondos de carteras de criptomonedas, con un caso confirmado de robo de Ether (ETH). El análisis de 428 routers reveló comportamientos maliciosos en una parte significativa de ellos.

El Hallazgo: Routers de IA como Caballo de Troya

La Investigación y su Alcance

El estudio, realizado por académicos de la Universidad de California, midió los ataques de intermediarios maliciosos en la cadena de suministro de los LLM. Los investigadores analizaron un total de 428 routers de API de terceros, obtenidos de comunidades públicas en línea. De esta muestra, 28 eran servicios de pago y 400 eran gratuitos.

Los Cuatro Vectores de Ataque Identificados

La investigación identificó varios vectores de ataque explotados por estos routers. Chaofan Shou, coautor del artículo, resumió el hallazgo:

“26 routers de LLM están inyectando secretamente llamadas a herramientas maliciosas y robando credenciales”.

El Problema de Fondo: Acceso a Texto Plano

El riesgo fundamental radica en la arquitectura actual. Estos routers, que se utilizan para agregar acceso a múltiples proveedores de LLM, actúan como intermediarios que terminan las conexiones TLS (cifradas). Esto les otorga acceso completo y legible a texto plano de cada mensaje y solicitud que pasa a través de ellos, creando un punto ciego de confianza.

Resultados Concretos: Del Código Malicioso al Robo de ETH

Estadísticas Alarmantes del Estudio

Los resultados cuantitativos del estudio son elocuentes. Los investigadores documentaron que 9 de los routers analizados inyectaron activamente código malicioso. Además, 2 routers desplegaron desencadenantes de evasión adaptativa para evitar la detección. En un experimento controlado, 17 routers accedieron ilegítimamente a credenciales de AWS propiedad de los investigadores. Las pérdidas financieras directas en carteras señuelo durante las pruebas fueron inferiores a 50 dólares.

El Caso del Robo de Ethereum

El hallazgo más grave demostró el riesgo directo para las criptomonedas. Los investigadores configuraron claves privadas señuelo de una cartera de Ethereum. Confirmaron que un router logró con éxito drenar fondos de ETH de una de esas claves privadas bajo su control. Este caso subraya el peligro real para desarrolladores que utilizan agentes de IA, como Claude Code, que podrían manejar inadvertidamente datos sensibles como claves privadas o frases semilla.

La Amenaza Invisible y el “Modo YOLO”

La Dificultad de Detección

Para el usuario final o el desarrollador, detectar si un router es malicioso es extremadamente difícil. Como señala el artículo de investigación:

“El límite entre el ‘manejo de credenciales’ y el ‘robo de credenciales’ es invisible para el cliente…”.

El Peligro del “YOLO Mode” y la Reutilización de Credenciales

La amenaza se amplifica con configuraciones de alto riesgo como el “Modo YOLO”, donde un agente de IA ejecuta automáticamente comandos o llamadas a herramientas sin confirmación humana. El estudio también advierte sobre el riesgo de reutilización de credenciales: un router originalmente benigno puede volverse peligroso si sus credenciales son filtradas y luego reutilizadas por un actor malicioso a través de retransmisiones de API débiles. Además, los routers gratuitos podrían utilizar el acceso de bajo costo como señuelo para robar credenciales valiosas.

Recomendaciones y Soluciones a Futuro

Consejos Inmediatos para Desarrolladores

La recomendación principal y más urgente de los investigadores es clara: los desarrolladores nunca deben permitir que claves privadas de criptomonedas o frases semilla transiten a través de una sesión de un agente de IA. La prioridad debe ser fortalecer las defensas en el lado del cliente.

La Solución Estructural a Largo Plazo

Para una solución de fondo, el estudio propone un cambio técnico fundamental. Las compañías que desarrollan los modelos de IA deberían implementar firmas criptográficas en sus respuestas. Esto permitiría la verificación matemática de que las instrucciones ejecutadas por un agente provienen únicamente del modelo legítimo y no han sido manipuladas por un intermediario. El artículo concluye señalando el problema sistémico:

“Los routers de API de LLM se sitúan en un límite de confianza crítico que el ecosistema actualmente trata como transporte transparente”.

El estudio ha sido publicado en el repositorio académico arXiv.org.