Claude Codeのソースコード漏洩事件の内部告発者に関する最新研究が明らかにし、市販のAI中継ステーションに潜むセキュリティリスクを暴露。実測により、一部の中継ステーションが証明書やウォレットの秘密鍵を盗み、悪意のあるコードを注入していることが判明し、サプライチェーン攻撃のポイントとなっている。
Claude Codeのソースコード漏洩内部告発者、AI中継ステーションのセキュリティリスクを暴露
最近、「あなたの代理人は私のもの」(Your Agent Is Mine)という研究論文が発表され、その著者の一人は、先日最も早くClaude Codeのソースコード漏洩事件を暴露した内部告発者Chaofan Shouである。
まだ淘宝でAI中継ステーションを購入していますか?Claude Codeのソースコード流出の内部告発者:少なくとも数十人が毒入りにされました
Claude Codeのソースコード漏洩事件の内部告発者に関する最新研究が明らかにし、市販のAI中継ステーションに潜むセキュリティリスクを暴露。実測により、一部の中継ステーションが証明書やウォレットの秘密鍵を盗み、悪意のあるコードを注入していることが判明し、サプライチェーン攻撃のポイントとなっている。
Claude Codeのソースコード漏洩内部告発者、AI中継ステーションのセキュリティリスクを暴露
最近、「あなたの代理人は私のもの」(Your Agent Is Mine)という研究論文が発表され、その著者の一人は、先日最も早くClaude Codeのソースコード漏洩事件を暴露した内部告発者Chaofan Shouである。
この論文は、初めて大規模言語モデル(LLM)のサードパーティAPIルーター、いわゆる中継ステーションに対して体系的なセキュリティ脅威の研究を行い、こうした中継ステーションがサプライチェーン攻撃のポイントとなり得ることを明らかにした。
AI中継ステーションとは何か?
LLMの呼び出しには大量のトークンが消費され、高額な計算コストが発生するため、AI中継ステーションはキャッシュを利用して繰り返される問題背景の説明を効率化し、顧客のコスト削減に大きく寄与している。
また、中継ステーションはモデルの自動割り当て機能を持ち、ユーザーの問題の難易度に応じて異なる課金基準や性能のモデルに動的に切り替え、単一モデルサーバーの切断時には自動的に予備モデルに切り替わることで、サービスの接続安定性を確保している。
**中国では特に中継ステーションの人気が高まっている。これは、同国では特定の海外AI製品を直接利用できないことや、企業の課金のローカライズニーズにより、中継ステーションが上流のモデルと下流の開発者をつなぐ重要な橋渡し役となっているためだ。**OpenRouterやSiliconFlowなどのプラットフォームもこのサービス範疇に含まれる。
しかし、コストや技術的ハードルを下げるように見える中継ステーションには、非常に大きなセキュリティリスクが潜んでいる。
図源:研究論文 AI中継ステーションのサプライチェーン攻撃リスクを暴露
AI中継ステーションは完全アクセス権を持ち、サプライチェーン攻撃の脆弱性となる
論文によると、中継ステーションはネットワークアーキテクチャのアプリケーション層で動作し、伝送中のJSONペイロードデータに対して完全な平文読み取り権限を持つ。
クライアントと上流モデル供給者間にはエンドツーエンドの暗号化完全性検証が欠如しているため、中継ステーションはAPIキーやシステムプロンプト、モデル出力のツール呼び出しパラメータを容易に閲覧・改ざんできる。
研究チームは、2026年3月に有名なオープンソースルーターLiteLLMが依存性の混乱攻撃を受け、攻撃者が悪意のあるコードをリクエスト処理パイプラインに注入できる脆弱性を指摘している。
実測:数十のAI中継ステーションに悪意の行動
**研究チームは淘宝(Taobao)、閒魚(Xianyu)、Shopifyなどのプラットフォームから28の有料中継ステーションを購入し、公開コミュニティから収集した400の無料中継ステーションを対象に深度テストを実施した。**結果、1つの有料中継ステーションと8つの無料中継ステーションが積極的に悪意のあるコードを注入していることが判明した。
無料中継ステーションのサンプルでは、17の中継ステーションが研究者が設置したAWSの誘導証明書を使用しようと試み、さらに1つの中継ステーションは研究者のEthereumウォレット内の暗号資産を直接盗み出した。
データは、外部漏洩した上流証明書を再利用したり、流量をセキュリティが弱いノードに誘導したりするだけで、正常に見える中継ステーションも攻撃の対象となることを示している。
また、毒性テストでは、**これらの被害を受けたノードは合計で21億以上のトークンを処理し、440のセッション中に99の実証証明書を露呈、さらに401のセッションは完全に自律運用状態にあった。**攻撃者は複雑なトリガー条件なしに、直接悪意のあるペイロードを注入できる。
図源:研究論文 実測で400以上の中継ステーションを調査、数十のAI中継ステーションに悪意の行動が確認される
四大攻撃手法の公開
論文は、悪意のある中継ステーションの攻撃行動を二つの主要カテゴリと二つの適応回避バリアントに分類している。
攻撃者は、一般的なセキュリティ検査を回避するために、依存性注入の手法も進化させている。ソフトウェアパッケージのインストールコマンド内のパッケージ名を改ざんし、正規のパッケージを公開レジストリに登録された同名または紛らわしい悪意のあるパッケージに置き換えることで、ターゲットシステムに持続的なサプライチェーンのバックドアを構築する。
もう一つは条件付き配信手法で、特定の条件下でのみ悪意の行動を発動させる。例として、リクエスト回数が50回を超えた場合や、システムが完全自律運用(YOLOモード)にあると検知した場合に攻撃を開始し、セキュリティの制限を回避している。
三つの防御策
AI中継の投毒サプライチェーン攻撃に対抗するため、論文は以下の三つの実用的な防御策を提案している。
上流モデル供給者に暗号学的検証の導入を促す
クライアント側の防御策は現段階で一部リスクを低減できるものの、根本的な送信者の認証の脆弱性を解決できない。中継ステーションの改ざん行為がクライアントの異常警報を引き起こさなければ、攻撃者は容易にプログラムの意味を変更し、破壊行為を行える。
AIエコシステムの安全性を徹底的に確保するには、最終的に上流モデル供給者が暗号学的検証をサポートする応答メカニズムを提供する必要がある。モデルの出力結果とクライアント側の最終実行コマンドを厳格に暗号的に結びつけることで、エンドツーエンドのデータ完全性を保証し、中継ステーションによるデータ改ざんのサプライチェーンリスクを全面的に防止できる。
関連記事:
OpenAIが使用するMixpanelの問題!一部ユーザの個人情報漏洩、フィッシングメールに注意
誤ったコピペで5千万ドル蒸発!暗号アドレスの毒入り詐欺再燃、どう防ぐか