Un investigador de seguridad reveló el 10 de abril una vulnerabilidad sistemática de seguridad en la cadena de suministro en el ecosistema de LLM: en pruebas reales dirigidas a 428 enrutadores de API de terceros, se descubrió que más del 20% de los enrutadores gratuitos estaban inyectando activamente código malicioso; uno de los enrutadores logró robar ETH desde una clave privada controlada por los investigadores.
Vulnerabilidad de cadena de suministro en enrutadores de LLM: riesgos sistémicos revelados por los datos de investigación
El investigador en redes sociales @Fried_rice señaló que el enrutador de API de terceros, ampliamente adoptado en el ecosistema de agentes de LLM, en realidad es un proxy a nivel de aplicación insertado entre el cliente y los modelos ascendentes, capaz de leer en texto claro la carga JSON de cada transmisión. El problema central es que, actualmente, ningún proveedor de enrutadores aplica de forma obligatoria la protección de integridad de cifrado entre el cliente y el modelo ascendente, lo que convierte al enrutador en un punto de intervención de alto valor para ataques en la cadena de suministro.
Cuatro hallazgos clave del estudio de pruebas
Inyección activa de código malicioso: 1 enrutador de pago y 8 enrutadores gratuitos (más del 20%) están inyectando activamente código malicioso en las cargas transportadas en las transmisiones
Mecanismos de evasión adaptativos: 2 enrutadores desplegaron disparadores que pueden evadir dinámicamente la detección, capaces de ocultar el comportamiento malicioso durante revisiones de seguridad
Sondeo activo de credenciales: 17 enrutadores tocaron las credenciales AWS Canary implementadas por los investigadores, lo que indica que existen intentos de robo de credenciales
Robo de activos cifrados: 1 enrutador robó ETH desde una clave privada que estaba en posesión de los investigadores, confirmando que la vulnerabilidad ya puede causar directamente pérdidas de activos en la cadena
Los experimentos de envenenamiento revelan aún más el alcance de la vulnerabilidad: una clave filtrada de OpenAI API se utilizó para generar 100 millones de tokens GPT-5.4; señuelos con configuraciones más débiles produjeron 2B de tokens de facturación, 99 credenciales que abarcaron 440 sesiones de Codex, y 401 sesiones que se ejecutaban en modo autónomo “YOLO”.
Fuga de código de Claude: de un descuido humano al ataque explotado por hackers
A finales de marzo de 2026, el archivo de mapeo de código Java (Source Map File) en el repositorio NPM del código de Claude se expuso accidentalmente, y un gran número de desarrolladores lo descargaron y lo difundieron de inmediato. Anthropic admitió que hubo una filtración de código fuente interno, causada por un descuido humano.
Sin embargo, los hackers convirtieron rápidamente este incidente en un vector de ataque. Zscaler descubrió que los atacantes, bajo el nombre “Claude Code Leak”, difundieron en GitHub paquetes comprimidos ZIP, afirmando que contenían una versión especial de código de Claude compilada a partir del código fuente filtrado, con funciones a nivel empresarial y sin restricciones de mensajes. Si los desarrolladores ejecutaban las instrucciones, el dispositivo sería infectado con el software espía Vidar y herramientas de servidor proxy como GhostSocks. Esta cadena de ataque aprovecha con precisión la curiosidad de los desarrolladores y la atención que prestan a los incidentes oficiales de filtración; es un ataque compuesto típico que combina ingeniería social con malware.
Mecanismos de defensa: tres capas de protección del lado del cliente validadas en el estudio
El equipo de investigación también desarrolló un agente de investigación llamado Mine, que verificó tres mecanismos de defensa efectivos para el lado del cliente:
Estrategia de bloqueo de falla (Circuit Breaker Policy Gating): cuando se detecta un comportamiento anómalo del enrutador, corta automáticamente la conexión para evitar que se transmitan comandos maliciosos
Filtrado de anomalías del lado de respuesta (Response-side Anomaly Screening): realiza verificaciones de integridad completas de las respuestas devueltas por el enrutador para identificar contenido manipulado
Registro transparente solo de adición (Append-only Transparent Logging): crea registros de auditoría de operaciones inmutables para seguimiento y análisis posteriores
Preguntas frecuentes
¿Qué es un enrutador LLM API y por qué su existencia constituye un riesgo de seguridad en la cadena de suministro?
Un enrutador LLM API es un servicio de terceros que actúa como intermediario entre aplicaciones de IA y proveedores de modelos ascendentes, capaz de distribuir solicitudes de llamadas a herramientas a varios proveedores ascendentes. Debido a que el enrutador puede leer en texto claro toda la carga JSON de las transmisiones y que actualmente no existe protección de cifrado de extremo a extremo, un enrutador malicioso o comprometido puede inyectar código malicioso, robar credenciales de API o interceptar activos cifrados en el equipo del usuario sin que este lo sepa.
¿Cuál es la causa del incidente de fuga de código de Claude y por qué lo aprovechan los hackers?
La fuga de código de Claude se debió a que un empleado interno de Anthropic, de forma accidental, publicó en el repositorio NPM archivos de mapeo del código fuente Java. Después de que el incidente atrajera amplia atención, los hackers, aprovechando la curiosidad de los desarrolladores por el contenido filtrado, difundieron en GitHub paquetes comprimidos maliciosos disfrazados como código filtrado, logrando guiar con éxito a los usuarios objetivo para que instalaran activamente malware.
¿Cómo pueden los desarrolladores protegerse en este tipo de ataques en la cadena de suministro?
Las medidas de defensa clave incluyen: usar solo servicios de enrutadores provenientes de fuentes confiables con registros de auditoría de seguridad claros; rechazar códigos “versiones especiales” que se descarguen de canales no oficiales; aplicar el principio de mínimo privilegio en la gestión de credenciales de API; y habilitar mecanismos de detección de anomalías del lado de respuesta en el marco de agentes de LLM para evitar pérdidas de activos en la cadena cuando el enrutador es comprometido.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
Aave propone 25.000 ETH a DeFi United para el alivio del DAO Kelp
Los proveedores de servicios de Aave presentaron el viernes una propuesta de gobernanza que contribuiría con 25,000 ETH por un valor de casi $58 millones desde el DAO del protocolo a DeFi United, un esfuerzo coordinado de ayuda para restaurar el respaldo de rsETH tras el exploit del Kelp DAO, según The Block.
La propuesta de contribu
CryptoFrontierhace3h
Cascada de liquidaciones de ETH: $841M posiciones largas en riesgo por debajo de $2,243, $395M cortos expuestos por encima de $2,461
Mensaje de Gate News, 26 de abril — Según datos de Coinglass, si Ethereum (ETH) cae por debajo de $2,243, las liquidaciones acumuladas de largos en las principales CEX alcanzarían $841 millones.
Por el contrario, si ETH se rompe por encima de $2,461, las liquidaciones acumuladas de cortos en las principales CEX sumarían $395 millones.
GateNewshace4h
Aave, Kelp, LayerZero Seek $71M Liberación de ETH congelado en Arbitrum
Una coalición de importantes protocolos DeFi, incluidos Aave Labs, Kelp DAO, LayerZero, EtherFi y Compound, presentó el sábado una Constitutional AIP en el foro de Arbitrum, solicitando que el DAO de la red libere aproximadamente $71 millones en ETH congelados para el esfuerzo de recuperación de rsETH conocido como DeFi United. El Arbitrum
CryptoFrontierhace5h
Aave、Kelp、LayerZero 提议释放被冻结的 $71M 百万美元 ETH 以支持 rsETH 恢复
Gate News 消息,4 月 26 日——由 Aave Labs 牵头的主要 DeFi 协议联盟,联合 Kelp DAO、LayerZero、EtherFi 和 Compound,于周六上午提交了一项宪法 AIP, 请求 Arbitrum DAO 释放约 $71 百万美元的被冻结 ETH,以支持 DeFi United,这是一项跨协议的
GateNewshace8h
La Fundación Ethereum vende 10.000 ETH a Bitmine mediante un acuerdo OTC
La Ethereum Foundation vende 10K ETH mediante OTC para financiar investigación, desarrollo y subvenciones al ecosistema bajo la estrategia de tesorería.
Bitmine amplía sus participaciones mediante acuerdos directos, acercándose al objetivo para controlar aproximadamente el 5% del suministro total de Ethereum.
Las transacciones OTC permiten transferencias grandes de criptomonedas con
CryptoFrontNewshace11h
Cascada de liquidaciones de ETH: $635M posiciones largas en riesgo por debajo de $2,217, $504M posiciones cortas expuestas por encima de $2,430
Mensaje de Gate News, 26 de abril — Según datos de Coinglass, si Ethereum cae por debajo de $2,217, las liquidaciones acumuladas de posiciones largas en las principales plataformas CEX alcanzarían $635 millones. Por el contrario, si ETH se dispara por encima de $2,430, las liquidaciones acumuladas de posiciones cortas ascenderían a $504 millones.
GateNewshace12h
