Сегодня 09 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

ИИ-агенты оказались уязвимы перед атаками на маршрутизаторы

Критически важной и недооцениваемой уязвимостью в экосистеме агентов искусственного интеллекта являются маршрутизаторы — работающие через API службы-посредники, которые соединяют локальные агентские приложения и работающие в облаке ИИ-модели. Потенциальную угрозу с их стороны продемонстрировали (PDF) исследователи из Калифорнийского университета в Санта-Барбаре.

 Источник изображения: Steve Johnson / unsplash.com

Источник изображения: Steve Johnson / unsplash.com

Современным ИИ-агентам доверяют решать всё более ответственные задачи: написание и выполнение кода, управление облачной инфраструктурой и даже обработку финансовых транзакций. Но они зависят от промежуточных сервисов — ИИ-маршрутизаторов, которые переадресуют запросы таким поставщикам моделей как OpenAI, Anthropic и Google. Занимая положение между клиентскими приложениями и ИИ-моделями, маршрутизаторы выступают в качестве прокси-серверов прикладного уровня с полным доступом к каждому проходящему через них пакету данных формата JSON.

Для проведения атаки не требуется подделывать сертификаты, как в традиционной схеме «человек посередине» — пользователи добровольно указывают их как конечные точки API. Проблема усугубляется тем, что ни один даже крупный поставщик ИИ-моделей не обеспечивает криптографическую целостность данных при переходе от модели к клиенту, то есть ничто не мешает вредоносному маршрутизатору переписать команду, которую агент впоследствии выполнит.

Чтобы продемонстрировать степень угрозы, учёные приобрели доступ к 28 маршрутизаторам на таких торговых площадках как Taobao, Xianyu и Shopify, а также изучили 400 бесплатных маршрутизаторов, предлагаемых в открытых сообществах. Результаты оказались тревожными:

  • 9 маршрутизаторов внедряли вредоносный код в вызовы инструментов — так делал 1 платный и 8 бесплатных сервисов;
  • 17 бесплатных маршрутизаторов повлекли последующее несанкционированное использование принадлежащих исследователям учётных данных Amazon Web Services, которые перехватывались при передаче;
  • 1 маршрутизатор вывел средства в криптовалюте Ethereum, получив доступ к принадлежащему исследователю закрытому ключу;
  • 2 маршрутизатора действовали скрытно — активировали злонамеренное поведение только после 50 запросов или подключались при автономных сессиях YOLO (You Only Live Once) во время работы с проектами Rust или Go, когда ИИ-агенту разрешалось совершать критические операции без подтверждения со стороны пользователя.

Наиболее опасным оказался класс атаки с внедрением полезной нагрузки посредством подмены легитимного URL-адреса установщика или имени пакета на контролируемый злоумышленником контент. Изменённая полезная нагрузка остаётся синтаксически корректной в JSON и свободно проходит большинство автоматических проверок безопасности. Всего одной переписанной команды curl достаточно для выполнения произвольного кода на машине клиента.

 Источник изображения: arxiv.org

Источник изображения: arxiv.org

Угрозу представляют не только явно вредоносные маршрутизаторы — опасным может стать даже добросовестный сервис. Чтобы подтвердить этот тезис, учёные намеренно допустили утечку API-ключа OpenAI и проследили, как неизвестные лица сгенерировали с его использованием 100 млн токенов GPT-5.4, в результате чего были раскрыты учётные данные в связанных с ними рабочих сессиях сервиса ИИ-программирования Codex.

В рамках другого эксперимента авторы исследования развернули 20 намеренно уязвимых собственных ИИ-маршрутизаторов на 20 IP-адресах и стали отслеживать активность на этих ресурсах. Нагрузка оказалась высокой: неизвестные лица осуществили 40 000 попыток несанкционированного доступа; были обработаны около 2 млрд оплаченных токенов; похищены 99 наборов учётных данных в 440 сессиях Codex, охватывающих 398 проектов. Подчёркивается, что в 401 из 440 этих сессий был включён автономный режим YOLO, позволяющий ИИ-агенту выполнять любые команды без подтверждения.

По итогам исследования учёные сделали вывод, что подтвердить происхождение команды от ИИ-модели невозможно, но есть три способа сократить риск без участия поставщика:

  • разрешать ИИ-агенту выполнять только команды из списка разрешённых и блокировать все остальные — этот способ даёт 1 % ложноположительных срабатываний, и его можно обойти, если злоумышленник разместит полезную нагрузку на домене из списка разрешённых;
  • проверять аномалии на стороне ответа при помощи ИИ-модели IsolationForest — помогает пресечь 89 % попыток внедрение полезной нагрузки, но даёт 6,7 % ложноположительных срабатываний;
  • вести журнал запросов и ответов, записывать данные TLS и хеши ответов, чтобы можно было провести анализ данных уже после инцидента — требует всего около 1,26 кбайт на запись.

Надёжную защиту, указывают исследователи, даст лишь внедрение механизма подписи ответов ИИ-моделей на уровне поставщика — аналогичным образом работает DKIM-защита в электронной почте. И пока крупные поставщики не примут соответствующих мер, каждый ИИ-маршрутизатор следует рассматривать как потенциального противника и развёртывать многоуровневые средства защиты на стороне клиента.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
В «Google Фото» появился ИИ-видеоредактор Video Remix на базе Gemini Omni 3 ч.
«Яндекс» открыл всем водителям карту очередей на заправках в России 4 ч.
Google назвала дату окончательного отключения старых расширений Chrome — под удар попадут и блокировщики рекламы 4 ч.
Доля Windows среди настольных ОС впервые упала ниже 60 % — но статистика вызывает вопросы 4 ч.
OpenAI научила ChatGPT слушать, думать и говорить одновременно — представлены модели GPT-Live 5 ч.
Настольная Google Earth Pro скоро пополнит кладбище Google — но веб- и мобильная версии пока останутся 5 ч.
Obsidian отменила Avowed 2 ради новой Fallout под руководством режиссёра Fallout: New Vegas 5 ч.
SpaceXAI выпустила мощную ИИ-модель Grok 4.5 — она тратит токены вдвое экономнее конкурентов и заточена на программирование 5 ч.
Увольнения в id Software оказались даже страшнее, чем можно было представить — новую Doom делать будет практически некому 5 ч.
Демоверсия скоростного шутера Hmur от звукорежиссёра Atomic Heart выйдет в сентябре — новый безумный трейлер 8 ч.
SambaNova завершила первый этап раунда финансирования на $1 млрд с оценкой в $11 млрд 3 ч.
DJI выпустила парашют для дрона Matrice 400 за $1050 — он раскрывается за 0,6 с и спасает квадрокоптер и людей при аварии 3 ч.
Новая статья: Обзор робота-газонокосилки Dreame Roboticmower A1 Pro 2000: когда на дачу приезжаешь только отдыхать 4 ч.
IBM представила компактные мейнфреймы z17 и LinuxONE 5 — всего от $165 тыс. 4 ч.
На Sony подали в суд за отказ от дисков для PlayStation — требуют $457 млн 5 ч.
Складной смартфон Samsung Galaxy Z Fold 8 Ultra показался на рендерах в преддверии анонса 5 ч.
Представлен стандарт VESA DisplayHDR True Black 1400 для флагманских OLED-дисплеев 7 ч.
ASRock призналась, что юбилейные продукты Taichi никогда не поступят в продажу 7 ч.
Thermaltake представила блок питания, при замене которого не придётся отключать кабели 7 ч.
Китайский зонд добрался до астероида для забора проб — он оказался гораздо меньше ожидаемого 9 ч.