Sicherheitsforscher haben am 10. April eine systematische Schwachstelle in der Lieferkette im LLM-Ökosystem offengelegt: Bei einem Live-Test an 428 Drittanbieter-API-Routern wurde festgestellt, dass über 20% der kostenlosen Router aktiv bösartigen Code injizieren. In einem Fall gelang es einem Router, ETH aus einem privaten Schlüssel zu stehlen, der von den Forschern kontrolliert wurde.
LLM-Router-Lieferkettenlücke: Systemische Risiken, die durch Forschungsdaten offengelegt werden
Der Social-Media-Forscher @Fried_rice weist darauf hin, dass die in der LLM-Agenten-Ökologie weit verbreiteten Drittanbieter-API-Router faktisch als Anwendungs-Schicht-Proxy fungieren, der zwischen dem Client und dem Upstream-Modell eingefügt ist. Er kann jede einzelne JSON-Payload in jeder Übertragung im Klartext lesen. Das Kernproblem besteht darin, dass derzeit kein Routeranbieter eine Ende-zu-Ende-Verschlüsselung für die Integrität zwischen dem Client und dem Upstream-Modell erzwingt, wodurch der Router zu einem hoch attraktiven Eingriffspunkt für Supply-Chain-Angriffe wird.
Vier Kategorien entscheidender Erkenntnisse aus den Forschungstests
Aktive Code-Injektion: 1 bezahlter Router und 8 kostenlose Router (über 20%) injizieren aktiv bösartigen Code in die Nutzlasten, die während der Übertragung übertragen werden
Adaptive Umgehungsmechanismen: 2 Router setzen Trigger ein, die sich dynamisch der Erkennung entziehen können und bösartiges Verhalten bei Sicherheitsprüfungen verstecken
Gezielte Zertifikats-/Kredential-Erkundung: 17 Router haben die von den Forschern eingesetzten AWS-Canary-Zertifikate berührt, was auf aktive Versuche zum Diebstahl von Zugangsdaten hinweist
Diebstahl kryptografischer Assets: 1 Router stahl ETH aus einem privaten Schlüssel, der von den Forschern gehalten wurde, und bestätigte damit, dass die Schwachstelle direkt zu Verlusten von On-Chain-Assets führen kann
Poisoning-Experimente enthüllen weiter das Ausmaß der Schwachstelle: Ein geleakter OpenAI-API-Schlüssel wurde genutzt, um 100 Millionen GPT-5.4-Token zu generieren; schwächere Köderkonfigurationen erzeugten 2 Milliarden Abrechnungs-Token, 99 Zertifikate über 440 Codex-Sitzungen hinweg sowie 401 Sitzungen, die im autonomen „YOLO-Modus“ liefen.
Claude-Code-Leak: Angriffskette von menschlichem Versäumnis bis zur Ausnutzung durch Hacker
Ende März 2026 wurde versehentlich eine Java-Quelldatei-Abbildung (Source Map File) aus dem NPM-Repository des Claude-Codes offengelegt, und daraufhin luden anschließend zahlreiche Entwickler die Dateien herunter und verbreiteten sie weiter. Anthropic räumte ein, dass es tatsächlich zu einem Abfluss interner Quellcodes gekommen sei, verursacht durch menschliches Versäumnis.
Doch Hacker verwandelten das Ereignis rasch in einen Angriffsvektor. Zscaler stellte fest, dass Angreifer unter dem Namen „Claude Code Leak“ auf GitHub ZIP-komprimierte Pakete ausstreuten. Dabei behaupteten sie, diese enthielten spezielle Claude-Code-Versionen, die aus dem geleakten Quellcode kompiliert worden seien, über Funktionen auf Unternehmensebene verfügten und keine Nachrichtenbeschränkungen hätten. Wenn Entwickler den Anweisungen folgten, würde das Gerät mit der Datendiebstahl-Software Vidar sowie den Proxy-Server-Tools GhostSocks infiziert werden. Diese Angriffskette nutzte präzise die Neugier der Entwickler und das Interesse an offiziellen Leak-Ereignissen aus – ein typischer zusammengesetzter Angriff aus Social Engineering und Malware.
Abwehrmechanismen: Drei Ebenen von Client-Schutzmaßnahmen, die in der Forschung validiert wurden
Das Forschungsteam entwickelte gleichzeitig einen experimentellen Proxy namens Mine und validierte drei wirksame Abwehrmechanismen für den Client:
Fail-Closed-Strategie-Gating (Circuit Breaker Policy Gating): Wenn ein Router ein abnormales Verhalten erkennt, wird die Verbindung automatisch getrennt, um zu verhindern, dass bösartige Befehle weitergegeben werden
Anomalie-Filterung auf der Response-Seite (Response-side Anomaly Screening): Eine Integritätsprüfung der von den Routern zurückgegebenen Responses, um manipulierte Inhalte zu identifizieren
Nur ergänzende transparente Protokollierung (Append-only Transparent Logging): Aufbau eines unveränderbaren Audit-Protokolls für spätere Rückverfolgung und Analyse
Häufige Fragen
Was ist ein LLM-API-Router, und warum stellt sein Dasein ein Lieferkettenrisiko für die Sicherheit dar?
Ein LLM-API-Router ist ein Drittanbieter-Dienst, der zwischen einer KI-Anwendung und einem Upstream-Modellanbieter als Proxy fungiert. Er kann Tool-Aufrufe-Anfragen an mehrere Upstream-Anbieter weiterleiten. Da Router alle JSON-Payloads in jeder Übertragung im Klartext lesen können und derzeit ein Schutz durch Ende-zu-Ende-Verschlüsselung fehlt, kann ein bösartiger oder kompromittierter Router bösartigen Code injizieren, API-Zugangsdaten stehlen oder kryptografische Assets abgreifen – sogar ohne dass die Nutzer es bemerken.
Wodurch entstand das Ereignis des Claude-Code-Leaks, und warum wurde es von Hackern ausgenutzt?
Der Claude-Code-Leak entstand, weil interne Mitarbeiter von Anthropic versehentlich eine Java-Quelldatei-Abbildungsdatei im NPM-Repository offengelegt haben. Nachdem das Leak-Ereignis große Aufmerksamkeit erregt hatte, nutzten Hacker die Neugier von Entwicklern auf den geleakten Inhalt und verbreiteten auf GitHub bösartige komprimierte Pakete, die als geleakter Code getarnt waren. So gelang es, die Zielnutzer erfolgreich dazu zu bringen, aktiv Malware zu installieren.
Wie können Entwickler sich in solchen Supply-Chain-Angriffen schützen?
Zu den wichtigsten Abwehrmaßnahmen gehören: nur Routerdienste zu verwenden, die aus vertrauenswürdigen Quellen stammen und über klare Sicherheits-Audit-Protokolle verfügen; das Herunterladen von „Sonderversionen“-Code von nicht offiziellen Kanälen abzulehnen; das Prinzip der geringsten Rechte in der Verwaltung von API-Zugangsdaten umzusetzen; sowie in den LLM-Agenten-Frameworks die Erkennung von Anomalien auf der Response-Seite zu aktivieren, um On-Chain-Asset-Verluste zu verhindern, falls der Router kompromittiert wird.
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
Verwandte Artikel
Wale setzen 50.000 ETH auf Everstake im Wert von über 116,97 Mio. $
Gate-News-Nachricht, 15. April — Laut Onchain Lens hat ein großer Whale 50.000 ETH bei Everstake hinterlegt, was ungefähr 116,97 Millionen $ entspricht.
GateNews6Std her
Bitcoin-, Ethereum- und Solana-ETFs verzeichnen am 15. April positive Nettozuflüsse
Gate-News-Mitteilung, gemäß dem Update vom 15. April verzeichneten Bitcoin-ETFs einen Nettozufluss über einen Tag von 4.566 BTC (ungefähr 337,41 Millionen US-Dollar) und einen Nettozufluss über 7 Tage von 6.753 BTC (ungefähr 499,04 Millionen US-Dollar). Ethereum-ETFs verzeichneten einen Nettozufluss über einen Tag von 23.405 ETH (ungefähr 54,37 Millionen US-Dollar)
GateNews8Std her
ETH 15-Minuten-Rücksetzer um 0,60 %: Abwärtsbewegung im Gleichklang mit der liquidationsbedingten Schließung von Long-Hebelpositionen auf hohem Niveau und dem kurzfristigen Abverkauf durch Wale
2026-04-15 13:30 bis 13:45 (UTC) verzeichnete ETH an einem kurzfristigen Hoch einen Gewinn von -0,60 %. Die Preisspanne lag bei 2317,79 - 2333,92 USDT, bei einer Spanne von 0,69 %. Zuvor war ETH in den letzten 24 Stunden stark gestiegen; der maximale Anstieg erreichte 9,5 %, das Marktinteresse hatte deutlich zugenommen. Die negative Rendite in diesem Zeitraum spiegelt wider, dass sich die lokale Stimmung in der Hochpreiszone schnell gedreht hat.
Der wichtigste Treiber für diese Kursabweichung ist das Gewinnmitnehmen der Longs im Derivatemarkt sowie das Reduzieren lokaler Leverage-Mittel. In den vergangenen 24 Stunden war der ETH-Futuresmarkt für Shorts
GateNews8Std her
BlackRock überträgt 15.101 ETH und 566 BTC an eine große CEX, im Wert von 75,96 Mio. $
BlackRock hat kürzlich über seine ETFs $35 Million in ETH und $41 Million in BTC an einen großen CEX übertragen, was zusammen nahezu $76 Million an Wert entspricht.
GateNews10Std her
On-Chain-Trader 0x049b eröffnet 20-fach gehebelten Long auf BTC und ETH und akkumuliert in zwei Monaten einen Gewinn von 5,17 Mio. $
Ein Händler, der als 0x049b bekannt ist, hat eine um 20x gehebelt Long-Position eröffnet und 269 BTC sowie 8.586 ETH gekauft. Innerhalb von zwei Monaten führte sie 47 Trades aus, erzielte eine Trefferquote von 63,83% und einen Gesamtgewinn von 5,17 Millionen $.
GateNews11Std her
Gate-Finanzierungsvault ETH 7-Tage-Festgeldanlage zusätzlicher Belohnungspool online – beim Zeichnen 10% jährlichen Renditebonus genießen
Gate News Nachricht, gemäß der offiziellen Ankündigung von Gate
Gate „Yu E Bao“ führt einen zusätzlichen Belohnungspool für ETH-Tagesgelder mit 7-tägiger Laufzeit ein. Antragstellende Nutzer können eine 10%ige jährliche Rendite-Zusatzprämie erhalten. Dieser Belohnungspool stellt insgesamt 500.000 OFC als zusätzliche Belohnungen bereit und verwendet das Prinzip „first come, first served“.
Die zusätzlichen Belohnungen werden täglich in Form von OFC in gleichwertigem Gegenwert auf die Nutzerkonten ausgezahlt. Die Plattform hat eine Obergrenze für das Gesamtvolumen der Aktivitätsbelohnungen sowie Beschränkungen für die maximale persönliche Obergrenze je Nutzer.
GateAnnouncement14Std her
