Vous achetez encore une station de transit AI sur Taobao ? La fuite du code source de Claude par un lanceur d'alerte : au moins une dizaine ont été empoisonnés

Les dernières recherches sur la dénonciation de la fuite du code source de Claude Code révèlent que les relais d’IA commerciaux cachent des risques de sécurité. Des tests ont montré que certains relais peuvent voler des certificats, des clés privées de portefeuille ou injecter des codes malveillants, devenant ainsi des points d’attaque dans la chaîne d’approvisionnement.

Le dénonciateur de la fuite du code source de Claude Code, révèle les risques de sécurité des relais d’IA

Récemment, une étude intitulée « Votre agent est le mien » (Your Agent Is Mine) a été publiée, dont l’un des auteurs est Chaofan Shou, le premier à avoir révélé la fuite du code source de Claude Code.

Cet article étudie pour la première fois de manière systématique la menace de sécurité des routeurs API tiers pour les grands modèles de langage (LLM), communément appelés relais, et révèle que ces relais peuvent devenir des points d’attaque dans la chaîne d’approvisionnement.

Qu’est-ce qu’un relais d’IA ?

Étant donné que l’appel à un LLM consomme beaucoup de jetons, entraînant des coûts de calcul élevés, les relais d’IA peuvent utiliser la mise en cache pour réutiliser des questions et des contextes, aidant ainsi les clients à réduire considérablement leurs coûts.

Par ailleurs, les relais disposent d’une fonction d’allocation automatique de modèles, permettant de basculer dynamiquement entre différents modèles selon la difficulté des questions des utilisateurs, avec des standards de facturation et des performances variables, et de passer automatiquement à un modèle de secours si le serveur principal tombe en panne, garantissant la stabilité du service.

Les relais sont particulièrement populaires en Chine, car le pays ne peut pas utiliser directement certains produits d’IA étrangers, et les entreprises ont besoin de localiser la facturation. Les relais deviennent donc un pont essentiel entre les modèles en amont et les développeurs en aval. Des plateformes comme OpenRouter ou SiliconFlow appartiennent à cette catégorie de services.

Cependant, ce qui semble réduire les coûts et la barrière technique, cache en réalité de grands risques de sécurité.

Source : étude révélant les risques d’attaque dans la chaîne d’approvisionnement des relais d’IA

Les relais d’IA ont un accès complet, créant une vulnérabilité dans la chaîne d’approvisionnement

L’étude indique que les relais opèrent au niveau de la couche applicative de l’architecture réseau, avec un accès complet en clair aux charges JSON transmises.

En l’absence de vérification d’intégrité cryptographique de bout en bout entre le client et le fournisseur du modèle en amont, le relais peut facilement voir et modifier les clés API, les prompts système, ainsi que les paramètres d’appel d’outils dans la sortie du modèle.

L’équipe de recherche souligne qu’en mars 2026, le routeur open source LiteLLM a été victime d’une attaque par confusion de dépendances, permettant à un attaquant d’injecter du code malveillant dans le pipeline de traitement des requêtes, illustrant la vulnérabilité de cette étape.

• Rapport associé : LiteLLM : résumé de l’attaque par injection de poison : comment vérifier si votre portefeuille cryptographique ou vos clés cloud ont été compromis ?

Tests réels sur des dizaines de relais d’IA ont révélé des comportements malveillants

L’équipe a acheté 28 relais payants sur des plateformes comme Taobao, Xianyu et Shopify, et a collecté 400 relais gratuits via des communautés publiques pour des tests approfondis. Les résultats montrent que 1 relais payant et 8 relais gratuits injectent activement du code malveillant.

Parmi les relais gratuits, 17 tentent d’utiliser des certificats AWS fabriqués par l’équipe de recherche, et 1 a même volé des cryptomonnaies dans le portefeuille Ethereum de l’équipe.

Les données montrent que dès lors qu’un relais réutilise des certificats d’amont compromis ou redirige le trafic vers des nœuds moins sécurisés, même un relais apparemment normal peut devenir une cible commune dans la même attaque.

Lors des tests d’infection, l’équipe a constaté que ces nœuds affectés ont traité plus de 2,1 milliards de jetons, exposant dans 440 sessions 99 vrais certificats, dont 401 étaient en fonctionnement autonome, permettant aux attaquants d’injecter facilement des charges malveillantes sans conditions complexes.

Source : étude révélant que plus de 400 relais ont été testés, avec des dizaines de relais malveillants

Quatre principales techniques d’attaque révélées

L’étude classe les comportements malveillants des relais en deux grandes catégories principales et deux variantes d’évasion adaptatives.

• Attaque par injection de charge : Après que le modèle en amont renvoie le résultat, le relais modifie discrètement les paramètres d’appel d’outils, par exemple en remplaçant une URL légitime par un serveur contrôlé par l’attaquant, provoquant l’exécution de code malveillant côté client.
• Fuite d’informations sensibles : Le relais, par balayage passif du trafic, intercepte et vole des informations sensibles telles que clés API, certificats AWS ou clés privées Ethereum.

Pour échapper aux détections classiques, les attaquants ont développé une technique d’injection ciblée dans les dépendances, en modifiant les noms des paquets dans les instructions d’installation, en remplaçant les paquets légitimes par des versions malveillantes, souvent dans des registres publics ou confusibles, afin d’établir une porte dérobée persistante dans la chaîne d’approvisionnement.

Une autre méthode consiste en une livraison conditionnelle, où le comportement malveillant ne s’active que sous certaines conditions, comme un nombre de requêtes supérieur à 50 ou la détection d’un mode autonome complet (mode YOLO), afin d’échapper aux contrôles de sécurité limités.

Trois mesures de défense possibles

Face aux attaques de la chaîne d’approvisionnement par poisoning des relais d’IA, l’étude propose trois mesures de défense :

• Mise en place de politiques pour les outils à haut risque : Vérifier et bloquer les domaines ou instructions d’installation non autorisés, avec un taux de faux positifs d’environ 1 %, pour bloquer la majorité des injections de charge.
• Filtrage des anomalies côté réponse : Capable de repérer 89 % des charges malveillantes avec un taux de faux positifs de 6,7 %, aidant efficacement les développeurs à faire une revue manuelle.
• Journalisation transparente supplémentaire : Bien qu’elle ne puisse pas prévenir l’attaque, cette mesure enregistre les hash des requêtes et des réponses, permettant une traçabilité et une évaluation des dommages en cas d’incident de sécurité.

Appel aux fournisseurs de modèles en amont pour une vérification cryptographique

Bien que les mécanismes de défense côté client puissent réduire certains risques à court terme, ils ne résolvent pas fondamentalement la faille d’authentification de la source. Tant que les modifications effectuées par le relais ne déclenchent pas d’alertes de sécurité côté client, un attaquant peut continuer à modifier le comportement du programme et à causer des dommages.

Pour assurer la sécurité complète de l’écosystème des agents IA, il est essentiel que les fournisseurs de modèles en amont proposent un mécanisme de réponse avec vérification cryptographique. Seule une liaison cryptée rigoureuse entre les résultats du modèle et les commandes finales exécutées par le client peut garantir l’intégrité des données de bout en bout et prévenir efficacement la falsification par les relais dans la chaîne d’approvisionnement.

Lectures complémentaires :
OpenAI utilise Mixpanel, qui a été compromis ! Risque de fuite de données pour certains utilisateurs, attention aux emails de phishing

Une erreur de copier-coller a fait disparaître 50 millions de dollars ! La fraude par empoisonnement d’adresses cryptographiques refait surface, comment s’en prémunir ?