Uma equipa de investigação da Universidade da Califórnia publicou na quinta-feira um artigo, pela primeira vez documentando de forma sistemática ataques de intermediário maliciosos contra a cadeia de fornecimento de Large Language Models (LLM), revelando uma importante falha de segurança de terceiros no ecossistema de agentes de IA. O coautor do artigo, Shou Chaofan, declarou diretamente no X: «26 routers de LLM estão a injetar secretamente chamadas de ferramentas maliciosas e a roubar credenciais.» A investigação testou 28 routers pagos e 400 routers gratuitos.
Descobertas centrais da investigação: vantagem de posicionamento dos routers maliciosos no tráfego de agentes de IA
(Fonte: arXiv)
As características da arquitetura dos agentes de IA fazem com que dependam naturalmente de routers de terceiros: os agentes agregam pedidos de acesso a fornecedores de modelos upstream como OpenAI, Anthropic e Google através de mediação via API. O problema crítico é que estes routers terminam as ligações de encriptação TLS (Segurança na Camada de Transporte) à Internet e leem, em texto claro, cada mensagem transmitida, incluindo os parâmetros completos e o conteúdo de contexto das chamadas de ferramentas.
Os investigadores implantaram chaves privadas de carteiras encriptadas e credenciais AWS em routers isco, acompanhando o momento em que foram acedidas e exploradas.
Dados-chave dos resultados dos testes
9 routers injetam proactivamente código malicioso: inserindo instruções não autorizadas no fluxo de chamadas de ferramentas de agentes de IA
2 routers implementam disparadores de evasão adaptativa: conseguem ajustar dinamicamente o comportamento para contornar a deteção básica de segurança
17 routers acedem às credenciais AWS dos investigadores: constituem uma ameaça direta para serviços cloud de terceiros
1 router conclui um roubo de ETH: transfere efetivamente Ethereum a partir da chave privada detida pelo investigador, completando uma cadeia de ataque integral
Os investigadores realizaram simultaneamente dois «estudos de envenenamento», e os resultados mostram que mesmo routers que no passado se comportaram de forma normal, uma vez reutilizados como um fraco retransmissor (weak relay) com credenciais vazadas, podem tornar-se ferramentas de ataque sem que o operador o saiba.
Porque é difícil de detetar: invisibilidade dos limites das credenciais e risco do modo YOLO
O artigo aponta a dificuldade central de deteção: «Para o cliente, o limite entre “processar credenciais” e “roubar credenciais” é invisível, porque o router já leu a chave em texto claro durante o encaminhamento normal.» Isto significa que engenheiros que usam agentes de codificação de IA como Claude Code para desenvolver contratos inteligentes ou carteiras, se não forem adotadas medidas de isolamento, fazem com que chaves privadas e frases mnemónicas atravessem um router malicioso num fluxo operacional que cumpre totalmente o esperado.
Outro fator que amplifica o risco é o «modo YOLO» referido pelos investigadores — uma configuração, em muitos frameworks de agentes de IA, que permite que o agente execute instruções automaticamente sem confirmação faseada do utilizador. Neste modo, um agente controlado por um router malicioso pode concluir chamadas de contratos maliciosos ou transferências de ativos sem qualquer aviso, e o âmbito do dano estende-se muito para além do mero roubo de credenciais.
O artigo de investigação conclui: «Os routers de API de LLM situam-se num limite de confiança crítico, e atualmente este ecossistema trata-os como transmissão transparente.»
Recomendações de defesa: práticas de curto prazo e direções de arquitetura a longo prazo
Os investigadores recomendam que os criadores de imediato adotem as seguintes medidas: a chave privada, a frase mnemónica e credenciais sensíveis de API nunca devem ser transmitidas em conversas de agentes de IA; ao escolher routers, deve dar-se prioridade a serviços com registos de auditoria transparentes e infraestruturas claramente definidas; se possível, deve isolar completamente operações sensíveis dos fluxos de trabalho dos agentes de IA.
A longo prazo, os investigadores apelam às empresas de IA para assinarem encriptadamente as respostas do modelo, de modo a que os clientes possam verificar matematicamente que as instruções executadas pelo agente provêm de um modelo upstream legítimo e não de uma versão maliciosa alterada pelo router intermédio.
Perguntas frequentes
Porque é que os routers de agentes de IA podem aceder a chaves privadas e frases mnemónicas?
Os routers de LLM terminam ligações de encriptação TLS e leem, em texto claro, todo o conteúdo transmitido nas conversas do agente. Se o desenvolvedor usar agentes de IA para tarefas que envolvem chaves privadas ou frases mnemónicas, estes dados sensíveis ficam totalmente visíveis a nível do router, permitindo que o router malicioso os intercepte facilmente sem despoletar quaisquer alertas anómalos.
Como determinar se o router em uso é seguro?
Os investigadores referem que «o “processamento de credenciais” e o “roubo de credenciais” são quase invisíveis para o cliente», tornando a deteção extremamente difícil. A recomendação fundamental é eliminar, a nível de conceção, a entrada de chaves privadas e frases mnemónicas em qualquer fluxo de trabalho de agentes de IA, em vez de depender de mecanismos de deteção no backend, e dar prioridade a serviços de router com registos de auditoria de segurança transparentes.
O que é o modo YOLO e porque é que agrava o risco de segurança?
O modo YOLO é uma configuração, em frameworks de agentes de IA, que permite ao agente executar instruções automaticamente, sem confirmação faseada pelo utilizador. Neste modo, se o tráfego do agente passar por um router malicioso, as instruções maliciosas injetadas pelo atacante serão executadas automaticamente pelo agente; o âmbito do dano pode estender-se do roubo de credenciais a operações maliciosas automatizadas, e os utilizadores não conseguem detetar qualquer anomalia antes da execução.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
A EtherFi propõe a injecção de 5000 ETH no fundo de resgate rsETH para evitar que a inadimplência se propague no ecossistema DeFi
A EtherFi Foundation apresentou, a 24 de abril, uma proposta de governação, autorizando a transferência de até 5.000 ETH do tesouro da DAO para um fundo de resgate inter-protocolos relacionado com o incidente da vulnerabilidade do rsETH, para colmatar uma falha de garantia e evitar que a Aave e outros mercados de empréstimos DeFi apresentem créditos incobráveis. Esta medida faz parte da iniciativa de ação conjunta de resgate da EtherFi como parte de «DeFi United».
MarketWhisper14m atrás
Explorador do Balance Move 100 ETH Após 5 Meses de Inactividade
Mensagem de notícias da Gate: o explorador do Balance transferiu 100 ETH (avaliados em $233,000) para uma nova carteira depois de ter permanecido inactivo durante 5 meses. O explorador começou a mover ETH através de bolsas centralizadas (CEX). Actualmente, os hackers ainda detêm 21,900 ETH, no valor de aproximadamente $51.13 milhões.
GateNews23m atrás
Meme Coin AIB em ETH Dispara para $7M Market Cap, +950x em Intraday
Mensagem de Notícias da Gate, 24 de abril — A Meme coin AIB, baseada em ETH, (America is BACK), viu a sua capitalização de mercado disparar brevemente acima de $7 milhões hoje; neste momento, está a negociar a $5.95 milhões, com um ganho intradiário superior a 950x.
As meme coins são conhecidas pela volatilidade extrema dos preços; recomenda-se aos investidores que exerçam cautela e gerem o risco em conformidade.
GateNews54m atrás
A ETH enfrenta $958M liquidação curta a $2.449; $703M risco de liquidação longa abaixo de $2.219
Mensagem do Gate News, 24 de abril — De acordo com os dados da Coinglass, se o Ethereum (ETH) romper acima de $2.449, as liquidações curtas acumuladas nas principais CEXs atingirão $958 milhões. Pelo contrário, se a ETH cair abaixo de $2.219, as liquidações longas acumuladas nas principais CEXs atingirão $703 milhões.
GateNews59m atrás
Bitmine faz staking de quase 192K ETH no valor de 446,9M USD em 12 horas
Notícia da Gate, 24 de Abril — A Bitmine acumulou 191.952 ETH em staking nas últimas 12 horas, avaliados em aproximadamente 446,9 milhões de dólares, segundo o analista on-chain Onchain Lens.
Deste total, 98.352 ETH (no valor aproximado de $229 milhões) foram feitos em staking nas últimas três horas.
GateNews1h atrás
Bitmine Aumenta o Staking de ETH para 70% das Participações Com $320M na Alocação Mais Recente
Mensagem da Gate News, 24 de Abril — A Bitmine de Tom Lee, a maior empresa de tesouraria de Ethereum, fez staking de aproximadamente $320 milhões de dólares em éter nas últimas 24 horas, elevando as suas participações em staking para mais de 70% do total das suas posições.
A mais recente tranche de cerca de 75,600 ETH foi transferida para uma grande CEX para staking na quinta-feira de manhã, na sequência de uma alocação separada de 61,200 ETH na quarta-feira — o primeiro lote da empresa em cerca de três semanas. De acordo com dados on-chain, a Bitmine já fez staking de aproximadamente 3,5 milhões de ETH, avaliados em cerca de $8,1 mil milhões, representando 70,1% das suas participações totais. Pode ter sido recebido, por três carteiras provavelmente associadas à empresa, um montante adicional de 100,000 ETH no valor de aproximadamente milhões antes do staking de quinta-feira, o que elevaria as participações totais para cerca de 5,08 milhões de ETH.
A Bitmine controla agora mais de 4,1% do fornecimento total de éter, alargando a sua vantagem para mais de 580% face ao seu par mais próximo, a SharpLink, que detém cerca de 868,699 ETH. A empresa planeia migrar a sua tesouraria de ethereum para a MAVAN, uma plataforma interna de staking lançada no mês passado, com recompensas anuais de staking projectadas de quase milhões com base nas actuais taxas. A acção da Bitmine NASDAQ: BMNR desceu cerca de 55% desde Outubro, negociando por volta de na quinta-feira, à medida que o próprio éter caiu 3,5% para $2,317 no dia.
GateNews1h atrás
