Der Gründer von Solayer warnt: KI-Agenten-Router weisen ein Risiko für bösartige Injektionen auf, ETH wurde gestohlen

Der Gründer von Solayer, @Fried_rice, veröffentlichte am 10. April in den sozialen Medien und enthüllte, dass es in einer Drittanbieter-API-Router-Infrastruktur, auf die Large-Language-Model-(LLM)-Agenten weitgehend angewiesen sind, systematische Sicherheitslücken gibt. Die Forschungstests umfassten 428 Router und ergaben, dass über 20% in unterschiedlichem Ausmaß böswillige Aktivitäten oder Sicherheitsrisiken aufweisen; in einem Fall wurde tatsächlich ETH aus einem vom Forscher gehaltenen privaten Schlüssel gestohlen.

Forschungsmethodik und zentrale Erkenntnisse: Sicherheitstests an 428 Routern

Das Forschungsteam testete 28 kostenpflichtige Router, die über Taobao, Xianyu und Shopify-Einzelhandels-Websites gekauft wurden, sowie 400 kostenlose Router, die aus öffentlichen Communities gesammelt wurden. Das Testverfahren bestand darin, in den Routern Köder zu platzieren, die AWS-Canary-Zertifikate und private Schlüssel für Kryptowährungen enthielten, und zu verfolgen, welche Router diese sensiblen Informationen aktiv aufrufen oder missbrauchen.

Schlüsselkennzahlen der Testergebnisse

Aktive böswillige Injektion: 1 kostenpflichtiger Router und 8 kostenlose Router injizieren aktiv bösartigen Code

Adaptive Umgehungsmechanismen: 2 Router setzten adaptive Trigger ein, die in der Lage sind, grundlegende Erkennungen zu umgehen

Anomalien beim Zugriff auf Zertifikate: 17 Router griffen auf von den Forschern gehaltene AWS-Canary-Zertifikate zu

Tatsächlicher Vermögensdiebstahl: 1 Router stahl erfolgreich ETH aus den privaten Schlüsseln des Forschers

Nachfolgende Poisoning-Studien zu beiden Fällen zeigen das Ausmaß des Risikos weiter. Ein geleakter OpenAI-Schlüssel wurde zur Generierung von 100M GPT-5.4 Token und über 7 Codex-Sitzungen verwendet; während schwächer konfigurierte Köder 2 Milliarden abrechnungsrelevante Token auslösten, 99 Nachweise über 440 Codex-Sitzungen hinweg sowie 401 Agentensitzungen, die bereits im autonomen YOLO-Modus liefen.

Defensivrahmen: Drei Client-Schutzmechanismen zur Validierung von Mine-Agenten

Das Forschungsteam baute einen Forschungs-Agenten namens Mine, der alle vier Arten von Angriffen auf vier gängige Agenten-Frameworks durchführen kann, und verifizierte drei wirksame Client-Defensivlösungen:

Die Fail-Closed-Strategie-Gating begrenzt, wenn der Agent bei der Agentenerkennung ein anomales Verhalten feststellt, den Umfang seiner autonomen Ausführung, um zu verhindern, dass der durch einen böswilligen Router manipulierte Agent den Schaden vergrößert. Das Response-Ende-Anomalie-Screening führt auf dem Client eine unabhängige Verifikation der Inhalte durch, die der Router zurückgibt, um manipulierte Ausgaben zu identifizieren. Nur das Hinzufügen von unveränderlichen transparenten Protokollen (Append-only Transparent Logging) schafft eine manipulationssichere Audit-Spur von Operationen, sodass abnormes Verhalten im Nachhinein nachverfolgt werden kann.

Der Kernpunkt der Forschung lautet: Das aktuelle LLM-Router-Ökosystem mangelt es an standardisiertem Schutz zur kryptografischen Integrität; Entwickler sollten sich nicht auf die Selbstdisziplin der Anbieter verlassen, sondern Integritätsvalidierung auf Client-Ebene unabhängig etablieren.

Ökologie-Hintergrund von Solayer: infiniSVM und ein Ökosystemfonds über 35M US-Dollar

Als Hintergrund der Offenlegung der Sicherheitsstudie hatte Solayer bereits im Januar dieses Jahres angekündigt, einen Ökosystemfonds in Höhe von 35M US-Dollar einzurichten, der frühe und wachstumsorientierte Projekte unterstützt, die auf dem infiniSVM-Netzwerk basieren. infiniSVM ist eine Layer-1-Blockchain, die mit Solana-Tools kompatibel ist; sie hat bereits einen Durchsatz von über 330k Transaktionen pro Sekunde (TPS) sowie eine finale Bestätigungszeit von etwa 400 Millisekunden demonstriert. Der Fonds legt den Schwerpunkt auf die Unterstützung von DeFi-, Zahlungs-, AI-getriebenen Systemen und Tokenisierung realer weltweiter Vermögenswerte (RWA). Als Erfolgsmaßstab dienen Protokolleinnahmen und tatsächlich gehandeltes Volumen.

Häufige Fragen

Warum ist die böswillige Injektion bei LLM-Routern für Nutzer nur schwer zu bemerken?

Da LLM-API-Router als Agenten auf Anwendungsebene arbeiten, können sie den JSON-Load in der Übertragung im Klartext aufrufen; derzeit gibt es in der Branche keine standardisierte Vorgabe, die die kryptografische Integritätsvalidierung zwischen Client und Upstream-Modell erzwingt. Ein böswilliger Router kann beim Weiterleiten von Anfragen Zertifikate stehlen oder böswillige Anweisungen einpflanzen; der gesamte Ablauf ist für Endnutzer vollständig transparent und unsichtbar.

Warum ist der YOLO-Modus-Agentensitzungsfall ein besonders risikoreiches Szenario?

Im YOLO-Modus führt die KI-Agenten-Operationen ohne Aufsicht eigenständig aus. Die Studie fand 401 Sitzungen, die in diesem Modus liefen; das bedeutet, dass, sobald ein Agent von einem böswilligen Router kontrolliert wird, seine Fähigkeit zur autonomen Ausführung vom Angreifer genutzt werden kann—das potenzielle Schadensausmaß geht weit über das bloße Stehlen von Zertifikaten hinaus und könnte Ketten automatisierter böswilliger Operationen auslösen.

Wie können Entwickler sich gegen Angriffe in der Lieferkette von LLM-Routern schützen?

Das Forschungsteam empfiehlt den Einsatz einer Verteidigungsarchitektur in drei Schichten: das Fail-Closed-Strategie-Gating bereitstellen, um den Umfang der autonomen Ausführung des Agents zu begrenzen; das Response-Ende-Anomalie-Screening aktivieren, um manipulierte Ausgaben zu erkennen; und ausschließlich das Hinzufügen von unveränderlichen transparenten Protokollen (Append-only Transparent Logging) einrichten, um Nachvollziehbarkeit der Operationen sicherzustellen. Das zentrale Prinzip lautet: nicht auf die Selbstdisziplin des Router-Anbieters vertrauen, sondern auf dem Client eine unabhängige Integritätsvalidierungsschicht etablieren.