Οι AI‑αντιπρόσωποι έδειξαν ευπάθεια σε επιθέσεις στους δρομολογητές

Κρίσιμη ευπάθεια στην αλυσίδα AI‑πράκτορων: δρομολογητές

Οι δρομολογητές (API‑μεσολαβητές), που συνδέουν τοπικές εφαρμογές πρακτόρων με μοντέλα AI στο σύννεφο, αποτελούν μια άγνωστη αλλά εξαιρετικά επικίνδυνη σημείο επίθεσης. Έρευνες από το Πανεπιστήμιο της Καλιφόρνιας στη Σαντά-Μπαρμπάρα έδειξαν πόσο εύκολα μπορεί να εκμεταλλευτείται αυτή η ευπάθεια.

Τι είναι ένας AI‑δρομολογητής;
* Ρόλος – διακομιστής μεσολάβησης μεταξύ της εφαρμογής πελάτη και του προμηθευτή μοντέλου (OpenAI, Anthropic, Google).
* Πρόσβαση – πλήρης σε κάθε πακέτο JSON που περνάει από αυτόν.
* Ασφάλεια – οι περισσότεροι μεγάλοι πάροχοι δεν εφαρμόζουν κρυπτογραφική ακεραιότητα δεδομένων· επομένως ο δρομολογητής μπορεί να αλλάξει αιτήματα χωρίς ανίχνευση.

Πώς έλεγαν οι ερευνητές την απειλή
Βήμα | Τι κάναν | Αποτέλεσμα
---|---|---
1 | Λάβασα πρόσβαση σε 28 εμπορικούς δρομολογητές (Taobao, Xianyu, Shopify) και αναλύσαμε 400 δωρεάν από κοινότητες. | Είδαμε πολλούς ενδεχομένως επικίνδυνους σημειώσεις.
2 | Εισάγα payload αντικαθιστώντας τη διεύθυνση URL του εγκαταστάτη ή το όνομα πακέτου με τον δικό μου ελεγχόμενο πόρο. | Το τροποποιημένο JSON πέρασε όλες τις αυτόματες έλεγχο· μια αλλαγμένη εντολή `curl` εκτελούσε αυθαίρετο κώδικα στον πελάτη.
3 | Διάρρηξη του API‑κλειδιού OpenAI και παρατήρηση ότι οι επιτιθέμενοι το χρησιμοποίησαν για παραγωγή 100 mln token GPT‑5.
4 | Ανακαλύψαν τα διαπιστευτήρια σε συνεδρίες Codex.
5 | Εγκατέστησε 20 ειδικά ευάλωτους δρομολογητές σε 20 IP· παρακολούθηση δραστηριότητας. | 40 000 προσπάθειες μη εξουσιοδοτημένης πρόσβασης, ~2 mln πληρωμένα token, 99 σύνολα διαπιστευτηρίων σε 440 συνεδρίες Codex (398 έργα). Σε 401 από τις 440 συνεδρίες ενεργοποιήθηκε η αυτόματη λειτουργία YOLO, επιτρέποντας στον πρακτόρα να εκτελεί οποιεσδήποτε εντολές χωρίς επιβεβαίωση.

Γιατί είναι τόσο επικίνδυνο
* Απλότητα επίθεσης – δεν απαιτείται ψευδισμός πιστοποιητικών· ο πελάτης καθορίζει μόνο τη τελική διεύθυνση API.
* Έλλειψη έγκρισης ακεραιότητας – ένας κακόβουλος δρομολογητής μπορεί να αλλάξει την εντολή που θα εκτελέσει ο πρακτόρας.
* Ασφαλείς υπηρεσίες – ακόμη και «ευγενικοί» μεσολαβητές μπορούν να γίνουν βέλη επίθεσης.

Πώς να προστατευτεί κανείς χωρίς τη συμμετοχή του προμηθευτή
1. Υπογραφή απαντήσεων από το μοντέλο – ιδανική λύση, αλλά προς το παρόν λείπει στους μεγάλους πάροχους (συνάδελφος DKIM για email).
2. Πολυεπίπεδη προστασία στον πελάτη – αντιμετωπίζετε κάθε δρομολογητή ως πιθανό εχθρό:
* Επαλήθευση δομής και περιεχομένου JSON.
* Περιορισμοί σε URL, HTTP μεθόδους και payload.
* Καταγραφή και παρακολούθηση ύποπτης δραστηριότητας.
3. Περιορισμός πρόσβασης στα API‑κλειδιά – αποθηκεύστε τα κλειδιά σε ασφαλή αποθήκες, εφαρμόστε περιστροφή και ελάχιστα δικαιώματα.

Συμπέρασμα
Η επαλήθευση της προέλευσης εντολής από μοντέλο AI είναι αδύνατη χωρίς υπογραφή απαντήσεων από τον πάροχο. Μέχρι να εμφανιστούν τέτοιες μηχανισμοί, οι χρήστες πρέπει να προστατεύουν την πλευρά του πελάτη, ελέγχοντας προσεκτικά όλα τα ενδιάμεσα συστήματα και εφαρμόζοντας αυστηρές πολιτικές ασφαλείας.