Дослідники Каліфорнійського університету виявили, що деякі сторонні маршрутизатори великих мовних моделей (LLM) ШІ можуть створювати вразливості в безпеці, що можуть призвести до крадіжки криптовалюти.
Дослідження, опубліковане в четвер дослідниками, яке вимірює зловмисні атаки посередників на ланцюг постачання LLM, виявило чотири вектори атак, включаючи впровадження шкідливого коду та витягування облікових даних.
«26 маршрутизаторів LLM таємно впроваджують зловмисні виклики інструментів і крадуть облікові дані», — сказав співавтор статті Чаофань Шоу у X.
ШІ-агенти LLM дедалі частіше направляють запити через сторонні посередники API або маршрутизатори, які об'єднують доступ до провайдерів, таких як OpenAI, Anthropic і Google. Однак ці маршрутизатори завершують інтернет-з'єднання TLS (Transport Layer Security) і мають повний доступ до відкритого тексту кожного повідомлення.
Це означає, що розробники, які використовують ШІ-агенти кодування, такі як Claude Code, для роботи зі смартконтрактами або гаманцями, можуть передавати приватні ключі, початкові фрази та конфіденційні дані через інфраструктуру маршрутизаторів, яка не була перевірена або захищена.
Багатоступінчастий ланцюг постачання маршрутизаторів LLM. Джерело: arXiv.org
ETH вкрадено з фіктивного криптогаманця
Дослідники протестували 28 платних маршрутизаторів і 400 безкоштовних маршрутизаторів, зібраних із публічних спільнот.
Їхні висновки були приголомшливими: дев'ять маршрутизаторів активно впроваджували шкідливий код, два застосовували адаптивні тригери ухилення, 17 отримали доступ до облікових даних Amazon Web Services, що належать дослідникам, і один вичерпав Ether (ETH) з приватного ключа, що належить дослідникам.
Пов'язане: Anthropic обмежує доступ до моделі ШІ через побоювання кібератак
Дослідники попередньо профінансували «фіктивні ключі» гаманців Ethereum з номінальними балансами та повідомили, що втрачена в експерименті вартість становила менше 50 доларів, але подальші деталі, такі як хеш транзакції, надані не були.
Автори також провели два «дослідження отруєння», які показали, що навіть доброякісні маршрутизатори стають небезпечними, коли вони повторно використовують витікші облікові дані через слабкі ретранслятори.
Важко визначити, чи є маршрутизатори зловмисними
Дослідники зазначили, що виявити, коли маршрутизатор є зловмисним, було непросто.
Ще однією тривожною знахідкою було те, що дослідники назвали «режимом YOLO». Це налаштування в багатьох фреймворках ШІ-агентів, де агент автоматично виконує команди, не запитуючи користувача підтвердити кожну з них.
Раніше легітимні маршрутизатори можуть бути мовчки озброєні без відома оператора, тоді як безкоштовні маршрутизатори можуть красти облікові дані, пропонуючи дешевий доступ до API як приманку, виявили дослідники.
Дослідники рекомендували, щоб розробники, які використовують ШІ-агенти для кодування, посилили захист на стороні клієнта, радячи ніколи не дозволяти приватним ключам або початковим фразам проходити через сеанс ШІ-агента.
Довгостроковим рішенням є криптографічний підпис відповідей компаніями ШІ, щоб інструкції, які виконує агент, можна було математично перевірити як такі, що надходять від фактичної моделі.
Журнал: Ніхто не знає, чи працюватиме квантово-безпечна криптографія взагалі
- #Ethereum
- #ШІ
- #Кіберзлочинність
- #Кібербезпека
- #ШІ та високі технології
