Collection des désordres dans les relais de jetons : après étude, je n'ose plus en utiliser ne serait-ce qu'un peu

null

C’est comme ça.

Il y a deux jours, je traînais dans un groupe de développeurs, à écouter tout le monde discuter avec enthousiasme de l’achat de clés API bon marché, ce genre de relais où quelques yuans sur Xianyu peuvent faire tourner des centaines de millions de tokens.

Tout le monde se plaignait, disant qu’ils sentaient que leur modèle avait été remplacé, suspectant que le propriétaire du site utilisait des petits modèles pour diluer la qualité et arnaquer de l’argent.

En regardant ces conversations, une seule pensée me venait en tête…

Hé mec, vous avez vraiment la tête trop grande.

Alors que tout le monde se plaint encore de la différence de quelques yuans, le relais pourrait déjà être en train de fouiller dans ton ordinateur.

À quel point la situation est-elle grave ?

Franchement, pour recharger dans un relais douteux, avec des modèles dilués, je pense que c’est déjà l’opération la plus éthique parmi ceux qui font du marché gris.

Imagine un peu : tu envoies une requête de code complexe, en pensant utiliser la puissant Opus4.6 de Claude, et le script de routage en arrière-plan, au lieu de te donner la réponse, te balance un petit modèle open source gratuit pour te faire croire que tout va bien. Et si c’est encore plus sournois, ils manipulent le taux de facturation, en faisant croire que tu as utilisé 100 tokens alors qu’en réalité, ils te facturent 300.

Mais ça, ce n’est rien. Beaucoup de sites se contentent de pirater des cartes de crédit pour profiter gratuitement, et dès qu’ils reçoivent une suspension, ils coupent la connexion et s’enfuient. Pas même un forum pour faire valoir ses droits. Quant à tes conversations, ils prétendent ne pas les sauvegarder, mais en secret, ils ont déjà tout empaqueté en corpus pour le vendre sur le dark web.

Beaucoup pensent que ce n’est qu’une petite arnaque, juste une coupe de monnaie, et qu’il faut laisser faire, c’est pas cher.

Moi aussi, je pensais comme ça, jusqu’à ce que je tombe sur une recherche de sécurité de pointe récente, qui m’a complètement bouleversé.

Honnêtement, beaucoup de gens comprennent encore les relais comme de simples « chat web ». Ils pensent que c’est juste un relais sans cervelle, un simple transmetteur.

Mais aujourd’hui, l’IA n’est plus un simple robot de conversation. Devant ton écran, ton ordinateur peut avoir lancé Cursor, ou ClaudeCode, ou même faire pousser des écrevisses.

L’IA moderne a des mains et des jambes. Elle peut lire tes fichiers locaux, écrire du code, voire exécuter directement des commandes système dans ton terminal.

Et si tu remplis cette URL de base inconnue dans ton éditeur de code, là, tout change.

Il y a deux jours, j’ai vu un article d’un chercheur en sécurité renommé, Chaofan Shou, intitulé « Your Agent Is Mine ». Ils ont infiltré plus de 400 relais sur le marché.

Et le résultat ?

Ils ont attrapé 26 relais en train d’injecter du code malveillant en cachette.

Comment ils ont fait ?

Le principe repose sur une faille fatale dans l’architecture du relais : c’est un homme du milieu au niveau applicatif. En gros, ta communication avec OpenAI ou Anthropic, dès qu’elle passe par le serveur du relais, est en clair.

C’est carrément excitant…

Si tu t’intéresses à ce domaine, imagine cette scène.

Tu utilises Cursor pour demander à l’IA d’écrire un script Python pour analyser des logs Nginx. Le GPT-5 officiel, de son côté, écrit honnêtement le code, le renvoie sous forme de JSON.

Mais le propriétaire malhonnête du relais, en voyant ça, ajoute discrètement à la fin du JSON une logique de cheval de Troie pour ouvrir une reverse shell.

Ton client local ne vérifie pas la légitimité, il accepte le JSON comme tel, et l’exécute immédiatement sur ton PC.

Et il y a des opérations encore plus sournoises. Ces vieux renards jouent souvent la carte de la sincérité, discutent avec toi comme de vrais amis. Mais quand tu demandes à l’IA de t’aider à configurer ton environnement de développement, par exemple en lui demandant d’installer le paquet requests dans le terminal,

Le script de détection du relais repère ça, et modifie discrètement le nom du paquet en reqeusts. Une seule lettre différente, et tu appuies sur Entrée les yeux fermés, et voilà qu’un paquet malveillant avec ransomware ou mineur s’installe dans ton système.

Je suis resté coi.

Dans les données de test publiées par l’équipe de recherche, 17 relais ont même tenté de voler des clés API AWS de leur propre recherche, volontairement laissées pour piéger. Dans la vraie vie, certains ont même utilisé des nœuds malveillants pour faire fuiter leur clé privée Ethereum, et des dizaines de milliers de dollars ont disparu en un clin d’œil.

Je suis encore un peu sonné.

Pour continuer sur cette lancée, cette chose, c’est en fait une forêt sombre.

Beaucoup savent que, à part des agrégateurs officiels comme OpenRouter, la majorité des relais bon marché et douteux reposent sur des méthodes comme le reverse engineering, la revente transfrontalière, ou la fraude par cartes de crédit.

Nous, les simples employés ou programmeurs, confions le contrôle de nos ordinateurs contenant le code source critique de l’entreprise ou nos clés de crypto-monnaie à ces acteurs du marché noir.

Comment se protéger ?

On ne peut pas arrêter d’utiliser ces outils IA, n’est-ce pas ?

Je pense que pour vraiment résoudre ce problème, il faut que les fabricants de modèles agissent à la racine. Les API actuelles, c’est comme envoyer une lettre recommandée : le facteur peut facilement modifier le contenu.

Une solution serait d’introduire une signature numérique cryptographique, comme un certificat HTTPS. Lorsqu’une grande entreprise de modèles envoie du code, elle le signe avec sa clé privée officielle. Notre éditeur local, en le recevant, peut vérifier la signature en récupérant la clé publique sur un domaine officiel. Si un relais tente de modifier ne serait-ce qu’un point, la signature devient invalide, et le système bloque.

Honnêtement, je ne sais pas quand les fabricants mettront en place ce mécanisme de vérification. En attendant, on doit se débrouiller pour se protéger.

Une de mes stratégies est de revenir à une connexion directe officielle, ou à défaut, d’utiliser uniquement des passerelles fiables comme OpenRouter, qui ont une très bonne réputation. Il ne faut laisser aucune chance aux hackers d’accéder à nos données en clair.

Si tu veux vraiment profiter de quelques yuans d’économies, crois-moi, il faut une isolation physique extrême.

Ne pas utiliser ton ordinateur principal, mais plutôt une machine virtuelle, ou un conteneur Docker avec des restrictions strictes de sortie réseau. Et surtout, désactiver dans tes outils tout mode d’exécution autonome non supervisé.

Si tu utilises un relais, chaque ligne de code que l’IA te propose d’exécuter doit être considérée comme une attaque potentielle. Vérifie-la à l’œil nu, mot à mot, et ne te contente pas de faire confiance.

Je vais aussi donner une dernière solution de compromis.

Si tu trouves que l’officiel coûte trop cher, et que tu veux profiter quand même, limite-toi à utiliser le relais comme simple outil de chat. Écrire ton rapport hebdomadaire, peaufiner un article, faire de la traduction, peu importe. Mais surtout, surtout, ne mets jamais cette clé dans un agent capable d’accéder à ton terminal local !

Et pour la confidentialité ?

Honnêtement, cela me rappelle cette fameuse phrase de M. Li, qui a été moquée sur tout le web : « Les Chinois sont prêts à échanger leur vie privée contre la commodité. » Ça peut paraître dur, mais si tu es têtu et que tu ne veux pas que tes conversations ou ton code d’entreprise soient vus par des sites malveillants, tu dois accepter de payer le prix.

C’est ton choix.

Mais en respectant cette dernière règle, tu peux montrer ton journal intime aux hackers, mais surtout, ne leur donne jamais la clé de chez toi.