Une équipe de recherche de l’Université de Californie a publié jeudi un article documentant pour la première fois de manière systématique des attaques d’homme du milieu malveillant contre la chaîne d’approvisionnement des grands modèles de langage (LLM), mettant en évidence un important angle mort de sécurité lié aux routeurs tiers dans l’écosystème des agents IA. Le co-auteur de l’article, Shou Chaofan, a déclaré directement sur X : « 26 routeurs LLM injectent secrètement des appels d’outils malveillants et volent des identifiants. » L’étude a mené des tests sur 28 routeurs payants et 400 routeurs gratuits.
Résultats clés de l’étude : l’avantage de positionnement des routeurs malveillants dans le trafic des agents IA
(来源:arXiv)
Les caractéristiques d’architecture des agents IA les rendent naturellement dépendants de routeurs tiers : les agents passent par des appels d’API pour agréger des requêtes d’accès à des fournisseurs de modèles en amont tels qu’OpenAI, Anthropic, Google, etc. Le problème clé réside dans le fait que ces routeurs mettent fin au chiffrement TLS (sécurité de la couche de transport) des connexions Internet et lisent sous forme de texte clair chaque message transmis, y compris les paramètres complets et le contenu contextuel des appels d’outils.
Les chercheurs ont implanté des clés privées de portefeuilles chiffrés et des identifiants AWS dans des routeurs pièges, afin de suivre s’ils ont été consultés et exploités.
Données clés des résultats des tests
9 routeurs injectent activement du code malveillant : intégration d’instructions non autorisées dans le flux d’appels d’outils des agents IA
2 routeurs déploient une éviction adaptative de déclencheurs : ajustement dynamique du comportement pour contourner une détection de sécurité de base
17 routeurs accèdent aux identifiants AWS des chercheurs : menace directe pour des services cloud tiers
1 routeur accomplit un vol ETH : transfère effectivement l’Ether depuis la clé privée détenue par le chercheur, complétant une chaîne d’attaque complète
Les chercheurs ont également mené deux « études de poisoning » (empoisonnement), dont les résultats montrent qu’en dépit d’un comportement normal passé, un routeur réutilisé en relais faible pour exploiter des identifiants divulgués peut aussi, sans que les opérateurs n’en soient informés, devenir un outil d’attaque.
Pourquoi c’est difficile à détecter : l’invisibilité des frontières de certificats et le risque du mode YOLO
L’article indique que la difficulté centrale de détection est la suivante : « pour le client, la frontière entre “traitement des certificats” et “vol des certificats” est invisible, parce que le routeur lit déjà les clés sous forme de texte clair durant la redirection normale. » Cela signifie que des ingénieurs utilisant des agents d’encodage IA tels que Claude Code pour développer des contrats intelligents ou des portefeuilles, s’ils ne prennent pas de mesures d’isolement, verront leurs clés privées et leurs phrases mnémoniques transiter par un routeur malveillant dans des opérations parfaitement conformes aux attentes.
Un autre facteur qui amplifie le risque est le « mode YOLO » que les chercheurs appellent ainsi : dans la plupart des frameworks d’agents IA, une configuration permet à l’agent d’exécuter automatiquement des instructions sans confirmation étape par étape de l’utilisateur. Dans ce mode, un agent manipulé par un routeur malveillant peut exécuter des appels de contrats malveillants ou des transferts d’actifs sans aucune alerte préalable, et l’ampleur du dommage dépasse largement un simple vol d’identifiants.
L’article de recherche conclut : « les routeurs d’API LLM se trouvent à une frontière de confiance essentielle, et cet écosystème les considère actuellement comme un transport transparent. »
Recommandations de défense : pratiques à court terme et directions d’architecture à long terme
Les chercheurs recommandent aux développeurs de mettre en œuvre immédiatement les mesures suivantes : la clé privée, la phrase mnémonique et les identifiants API sensibles ne doivent jamais être transmis dans une conversation d’agent IA ; lors du choix d’un routeur, privilégier un service offrant des journaux d’audit transparents et une infrastructure clairement définie ; si possible, isoler complètement les opérations sensibles du processus de travail de l’agent IA.
À long terme, les chercheurs appellent les entreprises d’IA à appliquer des signatures de réponse chiffrées aux modèles, afin que les clients puissent, par des méthodes mathématiques, vérifier que les instructions exécutées par l’agent proviennent bien d’un modèle amont légitime et non d’une version malveillante altérée par un routeur intermédiaire.
FAQ
Pourquoi les routeurs d’agents IA peuvent-ils accéder aux clés privées et aux phrases mnémoniques ?
Les routeurs LLM mettent fin au chiffrement TLS de la connexion et lisent sous forme de texte clair l’intégralité du contenu transmis dans la conversation de l’agent. Si les développeurs utilisent des agents IA pour traiter des tâches impliquant des clés privées ou des phrases mnémoniques, ces données sensibles deviennent entièrement visibles au niveau du routeur, ce qui permet à un routeur malveillant d’intercepter facilement sans déclencher d’alertes anormales.
Comment déterminer si le routeur utilisé est sécurisé ?
Les chercheurs indiquent que « le traitement des certificats » et le « vol des certificats » sont presque invisibles côté client, ce qui rend la détection extrêmement difficile. La recommandation fondamentale est d’empêcher dès la conception que les clés privées et les phrases mnémoniques entrent dans n’importe quel flux de travail d’agent IA, plutôt que de compter sur des mécanismes de détection côté backend, et de privilégier des services de routeur disposant de journaux d’audit de sécurité transparents.
Qu’est-ce que le mode YOLO, et pourquoi accroît-il les risques de sécurité ?
Le mode YOLO est une configuration des frameworks d’agents IA qui permet à l’agent d’exécuter automatiquement des instructions, sans confirmation progressive de l’utilisateur. Dans ce mode, si le trafic de l’agent passe par un routeur malveillant, les instructions malveillantes injectées par l’attaquant seront exécutées automatiquement par l’agent ; l’étendue du dommage peut s’étendre du vol d’identifiants à des opérations malveillantes automatisées, et les utilisateurs sont totalement incapables de déceler l’anomalie avant l’exécution.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Ethereum traite 200 M de transactions au T1 2026, en hausse de 43 % d’un trimestre sur l’autre
Ethereum a connu le volume de transactions trimestriel le plus élevé de son histoire au T1 2026, avec plus de 200 millions de transactions, soit une hausse de 43 % par rapport au trimestre précédent. Les solutions de couche 2 et l’utilisation des stablecoins ont alimenté cette poussée, indiquant une tendance d’adoption axée sur l’utilité.
GateNewsIl y a 7h
Cofondateur d’Ethereum Lubin : l’IA sera un tournant critique pour la crypto, mais le monopole des géants de la tech présente un risque systémique
Le cofondateur d’Ethereum, Joseph Lubin, a souligné le potentiel transformateur de l’IA pour le secteur des cryptomonnaies, tout en mettant en garde contre les risques de centralisation parmi les grands acteurs technologiques. Il envisage des transactions autonomes pilotées par l’IA sur la blockchain et met en avant la convergence entre la finance traditionnelle et la DeFi.
GateNewsIl y a 7h
ETH passe sous 2350 USDT
Message du bot de news Gate, le marché Gate indique qu'ETH est passé sous 2350 USDT, le prix actuel est de 2349,73 USDT.
CryptoRadarIl y a 10h
Le DNS de eth.limo fait l’objet d’une attaque : Vitalik appelle les utilisateurs à suspendre l’accès et à passer à IPFS
Vitalik Buterin a averti le 18 avril d’une attaque visant le registraire DNS de eth.limo, exhortant les utilisateurs à éviter d’accéder à vitalik.eth.limo et aux pages associées. Il a recommandé d’utiliser IPFS comme alternative jusqu’à ce que le problème soit résolu.
GateNewsIl y a 13h
Arthur Hayes Transfère 3 000 ETH vers un Principal CEX, Suscitant des Spéculations de Ventes
Un portefeuille associé à Arthur Hayes a transféré 3 000 ETH vers des bourses, déclenchant des spéculations sur une éventuelle pression vendeuse. Alors que certains y voient une prise de profits, d’autres pensent qu’il pourrait s’agir d’un repositionnement. La communauté crypto reste divisée pendant que les traders suivent la situation de près.
GateNewsIl y a 14h
