Все еще покупаете AI-центр на Таобао? Информатор о утечке исходного кода Claude Code: как минимум десятки были отравлены

Последние исследования раскрывают утечку исходного кода Claude Code, а также показывают, что коммерческие AI-ретрансляторы скрывают угрозы безопасности. Практические тесты выявили, что некоторые ретрансляторы могут похищать учетные данные, приватные ключи кошельков или внедрять вредоносный код, становясь узлами цепочки поставок атак.

Раскрытие утечки исходного кода Claude Code и угроз безопасности AI-ретрансляторов

Недавно была опубликована исследовательская статья «Твой агент — мой» (Your Agent Is Mine), одним из авторов которой является Chaofan Shou — один из первых, кто раскрыл утечку исходного кода Claude Code.

В этой статье впервые проведено системное исследование угроз безопасности третьих сторон API маршрутизаторов крупных языковых моделей (LLM), так называемых ретрансляторов, и показано, что такие узлы могут стать точками цепочки поставок для атак.

Что такое AI-ретранслятор?

Поскольку вызов LLM потребляет большое количество токенов и ведет к высоким затратам на вычисления, AI-ретрансляторы позволяют кэшировать повторяющиеся вопросы и контекст, значительно сокращая расходы клиентов.

Кроме того, у ретрансляторов есть функция автоматического распределения моделей, которая динамически переключает между моделями с разными тарифами и производительностью в зависимости от сложности вопроса пользователя, а также автоматически переключается на резервную модель при сбое основного сервера, обеспечивая стабильность сервиса.

Ретрансляторы особенно популярны в Китае, поскольку в стране невозможно напрямую использовать некоторые зарубежные AI-продукты, а также из-за потребности компаний в локализации расчетов. Поэтому ретрансляторы становятся важным мостом между upstream-моделями и downstream-разработчиками. В их число входят платформы, такие как OpenRouter и SiliconFlow.

Однако, несмотря на кажущуюся низкую стоимость и снижение технических барьеров, за этим скрываются огромные риски безопасности.

Источник: исследовательская статья, раскрывающая риски атак на цепочку поставок AI-ретрансляторов

AI-ретрансляторы имеют полный доступ, становясь уязвимыми для цепочек атак

В статье отмечается, что ретрансляторы работают на уровне прикладного слоя сетевой архитектуры и имеют полный доступ к незашифрованным данным JSON, передаваемым в процессе.

Поскольку между клиентом и поставщиком модели отсутствует полноценная проверка целостности с помощью сквозного шифрования, ретранслятор легко может просматривать и изменять API-ключи, системные подсказки и параметры вызова модели.

Команда исследователей указывает, что еще в марте 2026 года известный open-source маршрутизатор LiteLLM подвергся атаке с использованием зависимости, что позволило злоумышленнику внедрить вредоносный код в обработку запросов, подчеркнув уязвимость этого компонента.

• **Связанные новости:**Обзор инжекции вредоносного кода в LiteLLM: как проверить, не скомпрометированы ли кошельки и облачные ключи?

Практические тесты десятков AI-ретрансляторов выявили вредоносное поведение

Команда провела глубокое тестирование 28 платных ретрансляторов, приобретенных на платформах Taobao, Xianyu и Shopify, а также собрала 400 бесплатных ретрансляторов из открытых сообществ. В результате обнаружено, что один платный и восемь бесплатных ретрансляторов активно внедряют вредоносный код.

В образцах бесплатных ретрансляторов 17 попытались использовать подставленные исследователями AWS-учетные данные, а один из них прямо похитил криптовалюту с Ethereum-кошелька исследователей.

Дальнейшие данные показывают, что повторное использование скомпрометированных upstream-учетных данных или перенаправление трафика на менее защищенные узлы приводит к тому, что даже казалось бы безопасные ретрансляторы могут стать частью атак.

В ходе тестирования на заражение обнаружено, что эти узлы обработали более 2,1 миллиарда токенов, в 440 сессиях было раскрыто 99 реальных учетных данных, а 401 сессия работала полностью автономно, что позволяет злоумышленникам легко внедрять вредоносные нагрузки без сложных условий активации.

Источник: исследовательская статья, тестирование более 400 ретрансляторов, выявлены десятки с вредоносным поведением

Четыре основные метода атак раскрыты

В статье классифицированы атаки на вредоносные ретрансляторы в две основные категории и два варианта адаптивных обходных тактик.

• Инъекция нагрузки: После получения результата от upstream-модели, ретранслятор тайно изменяет параметры вызова, например, заменяет легитимный URL на сервер злоумышленника, что приводит к выполнению вредоносного кода на стороне клиента.
• Утечка конфиденциальных данных: Ретранслятор пассивно сканирует передаваемый трафик, перехватывает и похищает API-ключи, учетные данные AWS и приватные ключи Ethereum.

Чтобы избежать обнаружения стандартными средствами защиты, злоумышленники развили технику инъекции зависимостей, подменяя названия пакетов в командах установки программного обеспечения на те, что содержат вредоносные аналоги, опубликованные в публичных реестрах, что создает устойчивый бэкдор в системе.

Еще одна тактика — условная доставка, при которой вредоносное поведение активируется только при выполнении определенных условий, например, при превышении 50 запросов или обнаружении режима полной автономной работы (YOLO), что помогает обойти ограничения безопасности.

Три возможных меры защиты

В ответ на цепочные атаки на AI-ретрансляторы в статье предложены три практических меры защиты:

• Политика контроля для высокорискованных инструментов: проверка и блокировка неавторизованных доменов или команд установки пакетов, что позволяет с точностью около 99% предотвращать инъекции нагрузки.
• Механизм обнаружения аномалий на стороне ответа: способен с ошибкой около 6,7% отмечать 89% вредоносных образцов, помогая разработчикам проводить ручную проверку.
• Дополнительные журналы прозрачности: хотя они не предотвращают атаки, позволяют сохранять хеши запросов и ответов для последующего анализа и оценки ущерба при инцидентах.

Призыв к upstream-поставщикам внедрять криптографическую аутентификацию

Хотя клиентские механизмы защиты в настоящее время снижают некоторые риски, они не устраняют коренные уязвимости в аутентификации источника. Пока изменения в ретрансляторе не вызывают тревоги у клиента, злоумышленник может легко изменить смысл выполнения программы и нанести вред.

Для полноценной защиты экосистемы AI-агентов необходимо, чтобы upstream-поставщики внедрили механизмы криптографической аутентификации ответов. Только жесткая криптографическая привязка результатов модели к командам, выполняемым на клиенте, обеспечит целостность данных и полностью исключит риск подмены данных цепочкой поставок.

Дополнительные материалы:
OpenAI использует Mixpanel! Произошла утечка данных некоторых пользователей, будьте осторожны с фишинговыми письмами

Ошибка копирования и вставки привела к исчезновению 50 миллионов долларов! Вновь появились мошеннические схемы с подменой адресов криптовалют — как защититься?