Pular para o conteúdo principal
Fechar
IA

Routers de API LLM Maliciosos: A Ameaça Invisível nos Seus AI Agents

Gabriel Ferraresi· CEO | Tech865 de junho de 20264 min
llmapi routerssegurançaagentes iasupply chain

428 routers de API LLM testados. 9 injetando código malicioso ativamente. 1 drenando Ethereum de uma private key. 2,1 bilhões de tokens processados com credenciais vazadas. Seu AI agent pode estar recebendo instruções de um router que você não controla — e executando-as como se fossem legítimas.

O que são LLM API routers e por que eles são um problema

LLM API routers são proxies na camada de aplicação que despacham requisições para múltiplos providers upstream. Eles têm acesso plaintext completo a cada payload JSON em trânsito — tanto o request quanto a resposta. O problema fundamental: nenhum provider enforce integridade criptográfica entre cliente e modelo. O router modifica a resposta? O agent executa o payload como instrução legítima. Não há assinatura, não há checksum, não há verificação.

O paper "Your Agent Is Mine" testou 428 routers: 28 pagos (encontrados em marketplaces como Taobao, Xianyu e Shopify) e 400 gratuitos. A superfície de ataque é enorme — e a maioria das empresas nem sabe que está exposta.

Os números que importam

Dos 428 routers testados, 1 router pago e 8 gratuitos estavam injetando código ativamente. Mas o dado mais preocupante: 2 routers operavam com triggers de evasion adaptativa — o payload só executa sob condições específicas de contexto, timing ou origem. Em uma auditoria superficial, esses routers parecem completamente benignos.

17 routers tocaram credenciais AWS canary configuradas pelos pesquisadores. 1 router drenou Ethereum da private key de um pesquisador. Não é teoria — é execução real de ataque com impacto financeiro direto.

As classes de ataque

O estudo identificou duas classes principais de ataque. AC-1: Payload Injection — o router modifica a resposta upstream antes de entregá-la ao cliente. O agent confia na resposta que recebe. Se o router modificou, o agent executa o payload como instrução legítima do modelo. AC-2: Secret Exfiltration — o router extrai credenciais, API keys e tokens dos payloads em trânsito.

Dentro da AC-1, existem variantes que tornam a detecção ainda mais difícil. AC-1.a: Dependency-targeted injection — o payload só é injetado quando o request menciona dependências específicas. AC-1.b: Conditional delivery — o payload só é entregue sob condições de contexto, timing ou origem. Evasion total em auditorias superficiais.

O efeito cascata das credenciais vazadas

Os pesquisadores vazaram intencionalmente OpenAI keys e configuraram decoys fracas para observar o comportamento dos routers. O resultado: 2,1 bilhões de tokens processados por routers com credenciais vazadas. 99 credenciais expostas em 440 sessões Codex. 401 sessões em modo YOLO autônomo — injeção direta sem confirmação humana.

O dado mais revelador: routers "benignos" são puxados para a mesma superfície de ataque quando processam requests com credenciais vazadas. Não importa se o seu router é confiável — se ele tem sua key, e essa key vaza, outro router na cadeia pode explorá-la. Credenciais vazadas amplificam o risco porque um router benigno com sua key pode ser explorado por outro na cadeia.

A posição da Tech86

Não existe integridade criptográfica entre cliente e modelo — o router modifica sem detecção. Seu agent confia na resposta que recebe — se o router modificou, o agent executa o payload como instrução legítima. Routers gratuitos são o maior risco, mas pagos também foram pegos. E credenciais vazadas amplificam tudo: um router benigno com sua key pode ser explorado por outro na cadeia.

Na Tech86, avaliamos arquiteturas de AI agents com foco em integridade de comunicação e supply chain de APIs. Se seus agents usam routers sem verificação de integridade, você está a um proxy de distância de executar código que não é seu. A questão não é se os routers vão ser explorados — é se você vai detectar quando forem.

blog.cta_product_title

blog.cta_product_subtitle

Conheça Segurança Ofensiva

Perguntas Frequentes

Não. Dos 428 routers testados, 8 dos 9 que injetavam código eram gratuitos. Mas 1 router pago também foi flagrado. O modelo de negócio não garante integridade — a ausência de verificação criptográfica é o problema real.

É quando o router modifica a resposta do modelo upstream antes de entregá-la ao cliente. O AI agent recebe a resposta modificada e executa como se fosse instrução legítima do modelo. Não há integridade criptográfica entre cliente e modelo para detectar a alteração.

Um router benigno que processa requests com sua API key vazada pode ser explorado por outro router na cadeia. No estudo, routers processaram 2,1 bilhões de tokens com credenciais vazadas — e o estudo expôs 99 credenciais em 440 sessões Codex.

Alguns routers só injetam o payload sob condições específicas — contexto do request, timing ou origem. Em auditorias superficiais, o router parece benigno. A injeção só acontece quando as condições são atendidas, tornando a detecção muito mais difícil.

Sim. Se o agent roda em modo YOLO autônomo (sem confirmação humana), um payload injetado pelo router executa silenciosamente. No estudo, 401 sessões rodavam em modo autônomo — injeção direta sem qualquer gate humano.

Blog — Fale Conosco

Tem alguma pergunta sobre nossos artigos ou serviços? Nossa equipe está pronta para ajudar.

Agendar Reunião

Reserve um horário.

Agendar Agora

E-mail

Envie uma mensagem.

[email protected]

WhatsApp

Conversa rápida.

Endereço

Avenida Paulista, 1636 - São Paulo - SP - 01310-200

Especialista Tech86

Online agora

Olá! Como podemos ajudar a escalar seu negócio hoje?

Tech86 Engineering

Nós valorizamos sua privacidade

Utilizamos cookies e tecnologias similares para otimizar a sua experiência, analisar o tráfego do site e personalizar conteúdo. Ao clicar "Aceitar Todos", você concorda com o uso de todos os cookies. Leia nossa Política de Privacidade.