研究者は先週、428のLLM APIルーターを監査しました。これらは、開発者が複数のプロバイダーにまたがるエージェント呼び出しを、より低コストでルーティングするために使用するサードパーティのプロキシです。これらはすべて、あなたのエージェントとモデルの間に平文のまま存在し、通信中にあるすべてのトークン、資格情報、APIキーに完全にアクセスできる状態です。プロバイダーは、ルーターからモデルへの経路に対する暗号学的な完全性を強制していません。
428のうち、9は積極的に悪意を持っていました(2.1%)。17は、研究者が保有するAWSのカナリア資格情報に触れていました。1つは、研究者が保有する秘密鍵からETHを吸い上げました。
汚染(ポイズニング)研究の結果は、なかなか払拭できません。設定の弱いデコイ(囮)は440のCodexセッションを引き付け、20億件の請求トークンが発生し、99件の収集された資格情報が得られました。重要な点は、この440セッションのうち401が、すでに自律YOLOモードで動作していたことです――エージェントが何をしたかを人間が確認することはありませんでした。ルーターは、すべてのメッセージに対して平文で完全にアクセスできていました。
2つのルーターが適応的な回避(エバージョン)を導入していました。1つは最初の50リクエストまでは無害に振る舞い、その後有効化します。もう1つは、コード文脈内に特定のパッケージ(openai、anthropic)が現れたときだけ発火します。どちらも、カジュアルな接続テストを生き延びるように設計されており、それがコミュニティで配布されたリスト上で検知されずに済んだ理由です。
これはインフォーマルな市場に固有の話です。Taobao/Xianyuの店舗、コミュニティのTelegramボット、「より安いOpenAI」サービスです。AWS BedrockやAzure AIのエンタープライズ・ゲートウェイは、サードパーティの仲介者を介さずにプロバイダーへ直接ルーティングします。
推奨されるクライアント側の防御策は、ルーターの応答をそれがエージェントの状態に届く前にスキーマに照らして検証する「fail-closed(失敗時に遮断する)」ポリシーゲートと、すべてのツール呼び出しペイロードの追記のみのログです。
もしエージェントのトラフィックをサードパーティのプロキシ経由で、APIコストを節約するためにルーティングしているなら、そのプロキシが何を見られるか分かっていますか?
[link] [comments]
