Vous achetez encore une station de transit AI sur Taobao ? La fuite du code source de Claude : au moins une dizaine de dénonciateurs ont été empoisonnés

Les dernières recherches sur la dénonciation de la fuite du code source de Claude montrent que les relais d’IA commerciaux cachent des risques de sécurité. Des tests ont révélé que certains relais volent des certificats, des clés privées de portefeuille ou injectent des codes malveillants, devenant ainsi des points d’attaque dans la chaîne d’approvisionnement.

Le dénonciateur de la fuite du code source de Claude, révèle les risques de sécurité des relais d’IA

Récemment, une étude intitulée « Votre agent est le mien » (Your Agent Is Mine) a été publiée, dont l’un des auteurs est Chaofan Shou, le premier à avoir révélé la fuite du code source de Claude.

Cet article étudie pour la première fois de manière systématique la menace de sécurité des routeurs API tiers pour les grands modèles de langage (LLM), communément appelés relais, et révèle que ces relais peuvent devenir des points d’attaque dans la chaîne d’approvisionnement.

Qu’est-ce qu’un relais d’IA ?

Étant donné que l’appel à un LLM consomme beaucoup de jetons, entraînant des coûts de calcul élevés, les relais d’IA peuvent utiliser la mise en cache pour réutiliser des questions et des contextes, aidant ainsi les clients à réduire considérablement leurs coûts.

Par ailleurs, les relais disposent d’une fonction d’allocation automatique de modèles, permettant de basculer dynamiquement entre différents modèles selon la difficulté des questions des utilisateurs, avec des standards de facturation et des performances variables, et de passer automatiquement à un modèle de secours si le serveur principal tombe en panne, garantissant la stabilité du service.

Les relais sont particulièrement populaires en Chine, car le pays ne peut pas utiliser directement certains produits d’IA étrangers, et les entreprises ont besoin de localiser la facturation. Les relais deviennent donc un pont essentiel entre les modèles en amont et les développeurs en aval. Des plateformes comme OpenRouter ou SiliconFlow appartiennent à cette catégorie de services.

Cependant, derrière cette apparente réduction des coûts et de la barrière technique, se cachent de grands risques de sécurité.

Source : étude révélant les risques d’attaque dans la chaîne d’approvisionnement des relais d’IA

Les relais d’IA ont un accès complet, ce qui crée une vulnérabilité dans la chaîne d’approvisionnement

L’étude indique que les relais opèrent au niveau de la couche applicative de l’architecture réseau, avec un accès complet en clair aux charges JSON transmises.

En l’absence de vérification d’intégrité de chiffrement de bout en bout entre le client et le fournisseur du modèle en amont, le relais peut facilement voir et modifier les clés API, les prompts système et les paramètres d’appel de l’outil dans la sortie du modèle.

L’équipe de recherche souligne qu’en mars 2026, le routeur open source LiteLLM a déjà été victime d’une attaque par confusion de dépendances, permettant à un attaquant d’injecter du code malveillant dans le pipeline de traitement des requêtes, illustrant la faiblesse de cette étape.

• Rapport associé : LiteLLM, l’attaque de poisoning : comment vérifier si votre portefeuille cryptographique ou vos clés cloud ont été compromis ?

Des dizaines de relais d’IA injectent des comportements malveillants lors de tests

L’équipe de recherche a acheté 28 relais payants sur des plateformes comme Taobao, Xianyu et Shopify, et a collecté 400 relais gratuits via des communautés publiques pour des tests approfondis. Les résultats montrent qu’un relais payant et huit relais gratuits injectent activement du code malveillant.

Parmi les relais gratuits, 17 tentent d’utiliser des certificats AWS installés par les chercheurs, et un relais vole directement des cryptomonnaies dans le portefeuille Ethereum des chercheurs.

Les données montrent que dès qu’un relais réutilise un certificat en fuite ou redirige le trafic vers un nœud moins sécurisé, même un relais apparemment normal peut être impliqué dans la même surface d’attaque.

Lors des tests d’infection, l’équipe a constaté que ces nœuds affectés ont traité plus de 2,1 milliards de jetons, exposant 99 vrais certificats dans 440 sessions, dont 401 étaient entièrement autonomes, permettant aux attaquants d’injecter facilement des charges malveillantes sans conditions complexes.

Source : étude révélant que plus de 400 relais ont été testés, plusieurs d’entre eux présentant des comportements malveillants

Quatre principales techniques d’attaque révélées

L’étude classe les comportements malveillants des relais en deux grandes catégories principales et deux variantes d’évitement adaptatif.

• Attaque par injection de charge : Après que le modèle en amont renvoie le résultat, le relais modifie discrètement les paramètres d’appel de l’outil, par exemple en remplaçant une URL légitime par un serveur contrôlé par l’attaquant, ce qui permet d’exécuter du code malveillant côté client.
• Fuite de données sensibles : Le relais, par balayage passif du trafic, intercepte et vole des informations sensibles telles que clés API, certificats AWS ou clés privées Ethereum.

Pour échapper aux détections classiques, les attaquants ont développé une technique d’injection ciblée, modifiant spécifiquement le nom des packages dans les commandes d’installation, en remplaçant les packages légitimes par des versions malveillantes, souvent similaires ou confusantes, publiées dans des registres publics, afin d’établir une porte dérobée persistante dans la chaîne d’approvisionnement.

Une autre méthode consiste en une livraison conditionnelle, où le comportement malveillant ne se déclenche que sous certaines conditions, comme un nombre de requêtes supérieur à 50 ou la détection que le système fonctionne en mode autonome (mode YOLO), afin d’échapper aux contrôles de sécurité limités.

Trois mesures de défense possibles

Face à la menace de poisoning dans la chaîne d’approvisionnement des relais d’IA, l’étude propose trois mesures de défense :

• Mise en place de politiques pour les outils à haut risque : Vérifier et bloquer les domaines ou commandes d’installation non autorisés, avec un taux de faux positifs d’environ 1 %, pour bloquer la majorité des injections de charge.
• Filtrage des anomalies côté réponse : Capable d’identifier 89 % des charges malveillantes avec un taux de faux positifs de 6,7 %, aidant efficacement les développeurs à faire une revue manuelle.
• Journalisation transparente supplémentaire : Bien qu’elle ne puisse pas prévenir l’attaque, cette mesure enregistre les hash des requêtes et des réponses, permettant une traçabilité et une évaluation des dommages en cas d’incident de sécurité.

Appel aux fournisseurs de modèles en amont pour une vérification cryptographique

Bien que les mécanismes de défense côté client puissent réduire certains risques à court terme, ils ne résolvent pas fondamentalement la faille d’authentification de la source. Tant que les modifications du relais ne déclenchent pas d’alertes de sécurité côté client, un attaquant peut continuer à modifier le comportement du programme et à causer des dommages.

Pour assurer la sécurité de l’écosystème des agents IA, il est essentiel que les fournisseurs de modèles en amont proposent un mécanisme de réponse avec vérification cryptographique. Seule une liaison cryptée rigoureuse entre les résultats du modèle et les commandes finales exécutées par le client peut garantir l’intégrité des données de bout en bout, empêchant toute modification malveillante dans la chaîne d’approvisionnement.

Lectures complémentaires :
OpenAI et le problème de Mixpanel ! Fuite de données de certains utilisateurs, attention aux emails de phishing

Une erreur de copier-coller a fait disparaître 50 millions de dollars ! La fraude par injection d’adresses cryptographiques, comment s’en prémunir ?