Учёные предупреждают: маршрутизаторы с искусственным интеллектом, содержащие вредоносный код, способны похищать криптовалюту, используя для этого новый способ атаки.
Исследователи из Калифорнийского университета выявили ранее недокументированный класс атак, нацеленных на уровень инфраструктуры агентов искусственного интеллекта, обнаружив, что вредоносные сторонние маршрутизаторы LLM API могут перехватывать сообщения агентов, внедрять код в вызовы инструментов и выводить криптовалютные кошельки, включая, по крайней мере, в одном задокументированном случае, фактический перевод ETH из реального кошелька исследователя.
Результаты исследования, опубликованные в статье на arXiv в апреле 2026 года и названные командой первым систематическим анализом атак злоумышленников-посредников на цепочку поставок больших языковых моделей, превращают то, что раньше было лишь теоретической проблемой, в реальную, измеримую угрозу.
Структурно значимым это открытие делает то, что оно открывает возможности для атак — не на смарт-контракты и не на ошибки в управлении приватными ключами в традиционном понимании, а на уровень маршрутизации, который находится между ИИ-агентом и базовой языковой моделью, к которой он обращается с запросами.
По мере того как автономные ИИ-агенты все активнее интегрируются в криптокошельки, протоколы DeFi и автоматизированные торговые процессы, этот промежуточный уровень становится несущей инфраструктурой, которая в настоящее время функционирует без надлежащей стандартизации в области безопасности.
Как работают вредоносные маршрутизаторы для агентов ИИ: цепочка атак с использованием посредника и способы их применения против криптокошельков.
Маршрутизатор API для ИИ в стандартном режиме работы функционирует как промежуточный уровень — он получает запросы от агента ИИ или приложения, перенаправляет их одному или нескольким поставщикам больших языковых моделей и возвращает ответы.
Разработчики и команды часто используют сторонние маршрутизаторы для управления ключами API, балансировки нагрузки между провайдерами или снижения затрат за счет доступа к более дешевым конечным точкам моделей. Маршрутизатор по своей сути обеспечивает полный контроль над каждым запросом, вызовом инструмента и ответом, проходящими через него.
Злонамеренный маршрутизатор использует именно эту уязвимость. Вместо того чтобы прозрачно перенаправлять агентский трафик, он может проверять, изменять или отвечать на криптографические вызовы — структурированные команды, которые агент ИИ отправляет для взаимодействия с внешними системами, включая кошельки.
По мнению исследователей из Калифорнийского университета в Беркли, это позволяет использовать как минимум три активных типа атак: внедрение вредоносного кода в конвейер выполнения инструмента ИИ, сбор учетных данных и закрытых ключей API, передаваемых или упоминаемых в сеансах работы с ИИ, а также использование адаптивной логики уклонения, которая задерживает вредоносные действия, в некоторых задокументированных случаях до 50 и более циклов вызова — для обхода наивного мониторинга.
Исследователи также выявили четвертый вектор, который, по их мнению, особенно опасен в агентных системах: использование «режима YOLO» — функции автономного выполнения, реализованной в нескольких основных фреймворках для создания агентов, при которой агент действует в ответ на вызовы инструментов без подтверждения со стороны человека.
Маршрутизатор, который может подключиться к этому циклу, в принципе может авторизовать транзакции, которые пользователь не одобрял явно. Это не просто теория: команда исследователей подтвердила, что один из протестированных маршрутизаторов активно выводил ETH из кошелька одного из них.
Конкретные выводы исследователей из Калифорнийского университета: масштаб, подтвержденное вредоносное поведение и эпистемические ограничения препринта на arXiv.
Исследовательская группа протестировала в общей сложности 428 роутеров: 28 из них были приобретены в магазинах на Taobao, Xianyu и Shopify, а 400 — бесплатно скачаны из общедоступных каналов. Было подтверждено, что 9 роутеров — 1 платный и 8 бесплатных — активно внедряют вредоносный код в вызовы инструментов.
Кроме того, 17 пользователей получили доступ к учетным данным AWS Canary, которые команда использовала в качестве триггеров для обнаружения, а 2 пользователя применили методы адаптивного уклонения, специально разработанные для обхода поведенческого мониторинга. По классификации исследователей, более 20% участников выборки демонстрировали вредоносное поведение или признаки существенного риска.
Данные об использовании учетных данных, полученные в ходе экспериментов по «отравлению» системы, являются, если они точны, самым важным выводом, сделанным в статье. Утекший ключ OpenAI, размещенный на китайских форумах, в WeChat и Telegram, использовался для обработки 100 миллионов токенов GPT-5.4 и более чем 7 автономных сессий Codex, прежде чем его обнаружили. Более слабый поддельный ключ активировал 2,1 миллиарда оплачиваемых токенов в 440 сессиях Codex и 401 автономной сессии в режиме YOLO, в общей сложности задействовав 99 учетных данных.
Основатель Solayer Fried_rice охарактеризовал результаты, опубликованные в социальных сетях 10 апреля 2026 года, как свидетельство "системных уязвимостей безопасности” в маршрутизаторах API сторонних производителей - описание, которое согласуется с разработанной в статье собственной моделью угроз.
Мы полагаем, что основные выводы верны, учитывая очевидную строгость методологии и наличие подтверждающих данных по нескольким типам атак, о которых сообщалось. Однако к экстраполяции на выборку из 428 маршрутизаторов следует относиться с осторожностью.