Umělí inteligence ukázaly zranitelnost vůči útokům na routery

Kritická zranitelnost v řetězci AI‑agentů: směrovače

Směrovače (API‑prostředníky), které spojují lokální agenturní aplikace s cloudovými modely umělé inteligence, představují málo známý, ale extrémně nebezpečný bod útoku. Výzkumníci z Kalifornské univerzity v Santa Barbare demonstr

ovali, jak snadno lze tuto zranitelnost využít.

Co je AI‑směrovač?
* Role – proxy mezi klientskou aplikací a poskytovatelem modelu (OpenAI, Anthropic, Google).
* Přístup – plný přístup k každému JSON‑balíčku, který přes něj prochází.
* Bezpečnost – většina velkých poskytovatelů nepoužívá kryptografickou integritu dat; proto může směrovač měnit požadavky bez detekce.

Jak výzkumníci testovali hrozbu
KrokCo se udělaloVýsledek1Získali přístup k 28 komerčních směrovačům (Taobao, Xianyu, Shopify) a analyzovali 400 zdarma z otevřených komunit. Viděli mnoho potenciálně nebezpečných bodů.2Vložili payload, změnili URL instalátoru nebo název balíčku na svůj kontrolovaný zdroj. Upravený JSON prošel všemi automatickými kontroly; jedna upravená příkaz `curl` spustila libovolný kód na klientovi.3Získali API klíč OpenAI a sledovali, jak útočníci ho používali k generování 100 milionů tokenů GPT‑5.4Byla odhalena přihlašovací data v sezeních Codex.5Nasadili 20 zcela zranitelných směrovačů na 20 IP adresách a monitorovali jejich aktivitu.40 000 pokusů o neoprávněný přístup, ~2 miliardy zaplacených tokenů, 99 sad přihlašovacích údajů v 440 sezeních Codex (398 projektů). V 401 z 440 sezení byl povolen autonomní režim YOLO, který umožňuje agentovi vykonávat libovolné příkazy bez potvrzení.

Proč je to tak nebezpečné
* Jednoduchost útoku – není potřeba podvrhovat certifikáty; klient sám určuje cílovou API.
* Nedostatek kontroly integrity – škodlivý směrovač může měnit příkaz, který agent vykoná.
* Nezabezpečené služby – i „dobrosmyslní“ prostředníci mohou stát vektorem útoku.

Jak se chránit bez zapojení poskytovatele
1. Podepisování odpovědí od modelu – ideální řešení, ale zatím chybí u velkých poskytovatelů (analóg DKIM pro e‑mail).
2. Víceúrovňová ochrana na straně klienta – považujte každý směrovač za potenciálního nepřítele:
* Validace JSON struktury a obsahu.
* Omezení URL, HTTP metod a payloadu.
* Logy a monitorování podezřelé aktivity.
3. Omezte přístup k API klíčům – ukládejte klíče do bezpečných úložišť, používejte rotaci a minimální oprávnění.

Závěr
Ověření původu příkazu od AI‑modelu je nemožné bez podpisu odpovědí ze strany poskytovatele. Dokud takové mechanismy nebudou k dispozici, musí se uživatelé chránit na straně klienta, pečlivě ověřovat všechny prostředníky a zavádět přísná bezpečnostní politiky.