428 routers de API LLM testados. 9 injetando código malicioso ativamente. 1 drenando Ethereum de uma private key. 2,1 bilhões de tokens processados com credenciais vazadas. Seu AI agent pode estar recebendo instruções de um router que você não controla — e executando-as como se fossem legítimas.
O que são LLM API routers e por que eles são um problema
LLM API routers são proxies na camada de aplicação que despacham requisições para múltiplos providers upstream. Eles têm acesso plaintext completo a cada payload JSON em trânsito — tanto o request quanto a resposta. O problema fundamental: nenhum provider enforce integridade criptográfica entre cliente e modelo. O router modifica a resposta? O agent executa o payload como instrução legítima. Não há assinatura, não há checksum, não há verificação.
O paper "Your Agent Is Mine" testou 428 routers: 28 pagos (encontrados em marketplaces como Taobao, Xianyu e Shopify) e 400 gratuitos. A superfície de ataque é enorme — e a maioria das empresas nem sabe que está exposta.
Os números que importam
Dos 428 routers testados, 1 router pago e 8 gratuitos estavam injetando código ativamente. Mas o dado mais preocupante: 2 routers operavam com triggers de evasion adaptativa — o payload só executa sob condições específicas de contexto, timing ou origem. Em uma auditoria superficial, esses routers parecem completamente benignos.
17 routers tocaram credenciais AWS canary configuradas pelos pesquisadores. 1 router drenou Ethereum da private key de um pesquisador. Não é teoria — é execução real de ataque com impacto financeiro direto.
As classes de ataque
O estudo identificou duas classes principais de ataque. AC-1: Payload Injection — o router modifica a resposta upstream antes de entregá-la ao cliente. O agent confia na resposta que recebe. Se o router modificou, o agent executa o payload como instrução legítima do modelo. AC-2: Secret Exfiltration — o router extrai credenciais, API keys e tokens dos payloads em trânsito.
Dentro da AC-1, existem variantes que tornam a detecção ainda mais difícil. AC-1.a: Dependency-targeted injection — o payload só é injetado quando o request menciona dependências específicas. AC-1.b: Conditional delivery — o payload só é entregue sob condições de contexto, timing ou origem. Evasion total em auditorias superficiais.
O efeito cascata das credenciais vazadas
Os pesquisadores vazaram intencionalmente OpenAI keys e configuraram decoys fracas para observar o comportamento dos routers. O resultado: 2,1 bilhões de tokens processados por routers com credenciais vazadas. 99 credenciais expostas em 440 sessões Codex. 401 sessões em modo YOLO autônomo — injeção direta sem confirmação humana.
O dado mais revelador: routers "benignos" são puxados para a mesma superfície de ataque quando processam requests com credenciais vazadas. Não importa se o seu router é confiável — se ele tem sua key, e essa key vaza, outro router na cadeia pode explorá-la. Credenciais vazadas amplificam o risco porque um router benigno com sua key pode ser explorado por outro na cadeia.
A posição da Tech86
Não existe integridade criptográfica entre cliente e modelo — o router modifica sem detecção. Seu agent confia na resposta que recebe — se o router modificou, o agent executa o payload como instrução legítima. Routers gratuitos são o maior risco, mas pagos também foram pegos. E credenciais vazadas amplificam tudo: um router benigno com sua key pode ser explorado por outro na cadeia.
Na Tech86, avaliamos arquiteturas de AI agents com foco em integridade de comunicação e supply chain de APIs. Se seus agents usam routers sem verificação de integridade, você está a um proxy de distância de executar código que não é seu. A questão não é se os routers vão ser explorados — é se você vai detectar quando forem.