Все еще покупаете AI-центр на Таобао? Информатор о утечке исходного кода Claude Code: как минимум десятки были отравлены

Последние исследования раскрывают утечку исходного кода Claude Code, а также показывают, что коммерческие AI-ретрансляторы скрывают угрозы безопасности. Практические тесты выявили, что некоторые ретрансляторы могут похищать учетные данные, приватные ключи кошельков или внедрять вредоносный код, становясь узлами цепочки поставок атак.

Раскрытие утечки исходного кода Claude Code и угроз безопасности AI-ретрансляторов

Недавно опубликована исследовательская статья «Твой агент — мой» (Your Agent Is Mine), одним из авторов которой является Chaofan Shou, один из первых, кто раскрыл утечку исходного кода Claude Code.

В этой статье впервые проведено систематическое исследование угроз безопасности третьих сторон API маршрутизаторов крупных языковых моделей (LLM), так называемых ретрансляторов, и выявлено, что такие узлы могут стать точками цепочки поставок для атак.

Что такое AI-ретранслятор?

Поскольку вызов LLM потребляет большое количество токенов и ведет к высоким затратам на вычисления, AI-ретрансляторы позволяют кэшировать повторяющиеся вопросы и контекст, значительно сокращая расходы клиентов.

Кроме того, у ретрансляторов есть функция автоматического распределения моделей, которая динамически переключает между моделями с разными тарифами и производительностью в зависимости от сложности вопроса пользователя, а также автоматически переключается на резервную модель при сбое основного сервера, обеспечивая стабильность сервиса.

Ретрансляторы особенно популярны в Китае, поскольку в стране невозможно напрямую использовать некоторые зарубежные AI-продукты, а также из-за потребности компаний в локализации расчетов. Поэтому ретрансляторы становятся важным мостом между upstream-моделями и downstream-разработчиками. В их число входят платформы, такие как OpenRouter и SiliconFlow.

Однако, несмотря на кажущуюся низкую стоимость и снижение технических барьеров, за этим скрываются огромные риски безопасности.

Источник: исследовательская статья, раскрывающая риски атак на цепочку поставок AI-ретрансляторов

AI-ретрансляторы имеют полный доступ, становясь уязвимыми для атак цепочки поставок

В статье отмечается, что ретрансляторы работают на уровне прикладного слоя сетевой архитектуры и имеют полный доступ к незашифрованным данным JSON, передаваемым в процессе.

Поскольку между клиентом и upstream-поставщиком модели отсутствует полноценная проверка целостности с помощью сквозного шифрования, ретранслятор легко может просматривать и изменять API-ключи, системные подсказки и параметры вызова модели.

Исследовательская команда указывает, что еще в марте 2026 года известный open-source маршрутизатор LiteLLM подвергся атаке с использованием зависимости, что позволило злоумышленнику внедрить вредоносный код в обработку запросов, подчеркнув уязвимость этого компонента.

• **Связанные новости:**Обзор инжекции вредоносного кода в LiteLLM: как проверить криптокошельки и облачные ключи на наличие угроз?

Практические тесты десятков AI-ретрансляторов выявили вредоносное поведение

Команда провела глубокое тестирование 28 платных ретрансляторов, приобретенных на платформах Taobao, Xianyu и Shopify, а также собрала 400 бесплатных ретрансляторов из открытых сообществ. В результате обнаружено, что один платный и восемь бесплатных ретрансляторов активно внедряют вредоносный код.

В выборке бесплатных ретрансляторов 17 попытались использовать подставленные исследователями AWS-учетные данные, а один из них прямо похитил криптовалюту с Ethereum-кошелька исследователей.

Дальнейшие данные показывают, что повторное использование скомпрометированных upstream-учетных данных или перенаправление трафика на менее защищенные узлы приводит к тому, что даже казавшиеся безопасными ретрансляторы оказываются вовлеченными в одни и те же атаки.

В ходе тестирования на заражение обнаружено, что эти узлы обработали более 2,1 миллиарда токенов, в 440 сессиях было раскрыто 99 реальных учетных данных, а 401 сессия находилась в полностью автономном режиме, что позволяет злоумышленникам легко внедрять вредоносные нагрузки без сложных условий активации.

Источник: исследовательская статья, тестирование более 400 ретрансляторов, выявлены десятки с вредоносным поведением

Четыре основные метода атак

В статье выделены две основные категории атак и две вариации адаптивных обходных методов, характерных для вредоносных ретрансляторов.

• Атаки внедрения нагрузки: После получения результата от upstream-модели, ретранслятор тайно изменяет параметры вызова, например, заменяет легитимный URL на сервер злоумышленника, что приводит к выполнению вредоносного кода на клиенте.
• Атаки утечки конфиденциальных данных: Ретранслятор пассивно сканирует передаваемый трафик, перехватывает и похищает API-ключи, учетные данные AWS и приватные ключи Ethereum.

Чтобы уклониться от стандартных средств обнаружения угроз, злоумышленники развили технику инжекции зависимостей, специально изменяя названия пакетов в командах установки программного обеспечения, заменяя легитимные пакеты на заранее опубликованные в публичных реестрах вредоносные или легко спутываемые аналоги, создавая устойчивые задние двери в цепочке поставок.

Еще один метод — условная доставка, при которой вредоносное поведение активируется только при выполнении определенных условий, например, при превышении 50 запросов или обнаружении режима полной автономной работы (YOLO), что помогает обойти ограничения по безопасности.

Три возможных меры защиты

В ответ на угрозы цепочки поставок, связанные с внедрением вредоносных данных в AI-ретрансляторы, в статье предложены три меры защиты:

• Политика контроля для высокорискованных инструментов: проверка и блокировка несанкционированных доменов или команд установки пакетов, что позволяет с точностью около 99% предотвращать атаки внедрения нагрузки.
• Механизм обнаружения аномалий на стороне ответа: способен с ошибкой около 6,7% отмечать 89% вредоносных образцов, что помогает разработчикам проводить ручную проверку.
• Дополнительные журналы прозрачности: хотя эти механизмы не предотвращают атаки, они сохраняют хеши запросов и ответов, что позволяет при инцидентах отслеживать и оценивать масштаб ущерба.

Призыв к upstream-поставщикам внедрять криптографическую проверку

Хотя клиентские механизмы защиты в настоящее время снижают некоторые риски, они не устраняют корень проблемы — уязвимость аутентификации источника. Пока изменения в ретрансляторе не вызывают тревоги у клиента, злоумышленник может легко изменить смысл выполнения программы и нанести вред.

Для полноценной защиты экосистемы AI-агентов необходимо, чтобы upstream-поставщики внедрили механизмы криптографической аутентификации ответов. Только жесткая криптографическая привязка результатов модели к командам, выполняемым на клиенте, обеспечит целостность данных и полностью исключит риск подмены данных цепочкой поставок через ретранслятор.

Дополнительные материалы:
OpenAI использует Mixpanel! Произошла утечка данных некоторых пользователей, будьте осторожны с фишинговыми письмами

Ошибка при копировании и вставке — 50 миллионов долларов исчезли! Вновь появились мошеннические схемы с подменой криптоадресов, как защититься?