Une équipe de recherche de l’Université de Californie a publié jeudi un article documentant pour la première fois de manière systématique des attaques d’homme du milieu malveillant contre la chaîne d’approvisionnement des grands modèles de langage (LLM), mettant en évidence un important angle mort de sécurité lié aux routeurs tiers dans l’écosystème des agents IA. Le co-auteur de l’article, Shou Chaofan, a déclaré directement sur X : « 26 routeurs LLM injectent secrètement des appels d’outils malveillants et volent des identifiants. » L’étude a mené des tests sur 28 routeurs payants et 400 routeurs gratuits.
Résultats clés de l’étude : l’avantage de positionnement des routeurs malveillants dans le trafic des agents IA
(来源:arXiv)
Les caractéristiques d’architecture des agents IA les rendent naturellement dépendants de routeurs tiers : les agents passent par des appels d’API pour agréger des requêtes d’accès à des fournisseurs de modèles en amont tels qu’OpenAI, Anthropic, Google, etc. Le problème clé réside dans le fait que ces routeurs mettent fin au chiffrement TLS (sécurité de la couche de transport) des connexions Internet et lisent sous forme de texte clair chaque message transmis, y compris les paramètres complets et le contenu contextuel des appels d’outils.
Les chercheurs ont implanté des clés privées de portefeuilles chiffrés et des identifiants AWS dans des routeurs pièges, afin de suivre s’ils ont été consultés et exploités.
Données clés des résultats des tests
9 routeurs injectent activement du code malveillant : intégration d’instructions non autorisées dans le flux d’appels d’outils des agents IA
2 routeurs déploient une éviction adaptative de déclencheurs : ajustement dynamique du comportement pour contourner une détection de sécurité de base
17 routeurs accèdent aux identifiants AWS des chercheurs : menace directe pour des services cloud tiers
1 routeur accomplit un vol ETH : transfère effectivement l’Ether depuis la clé privée détenue par le chercheur, complétant une chaîne d’attaque complète
Les chercheurs ont également mené deux « études de poisoning » (empoisonnement), dont les résultats montrent qu’en dépit d’un comportement normal passé, un routeur réutilisé en relais faible pour exploiter des identifiants divulgués peut aussi, sans que les opérateurs n’en soient informés, devenir un outil d’attaque.
Pourquoi c’est difficile à détecter : l’invisibilité des frontières de certificats et le risque du mode YOLO
L’article indique que la difficulté centrale de détection est la suivante : « pour le client, la frontière entre “traitement des certificats” et “vol des certificats” est invisible, parce que le routeur lit déjà les clés sous forme de texte clair durant la redirection normale. » Cela signifie que des ingénieurs utilisant des agents d’encodage IA tels que Claude Code pour développer des contrats intelligents ou des portefeuilles, s’ils ne prennent pas de mesures d’isolement, verront leurs clés privées et leurs phrases mnémoniques transiter par un routeur malveillant dans des opérations parfaitement conformes aux attentes.
Un autre facteur qui amplifie le risque est le « mode YOLO » que les chercheurs appellent ainsi : dans la plupart des frameworks d’agents IA, une configuration permet à l’agent d’exécuter automatiquement des instructions sans confirmation étape par étape de l’utilisateur. Dans ce mode, un agent manipulé par un routeur malveillant peut exécuter des appels de contrats malveillants ou des transferts d’actifs sans aucune alerte préalable, et l’ampleur du dommage dépasse largement un simple vol d’identifiants.
L’article de recherche conclut : « les routeurs d’API LLM se trouvent à une frontière de confiance essentielle, et cet écosystème les considère actuellement comme un transport transparent. »
Recommandations de défense : pratiques à court terme et directions d’architecture à long terme
Les chercheurs recommandent aux développeurs de mettre en œuvre immédiatement les mesures suivantes : la clé privée, la phrase mnémonique et les identifiants API sensibles ne doivent jamais être transmis dans une conversation d’agent IA ; lors du choix d’un routeur, privilégier un service offrant des journaux d’audit transparents et une infrastructure clairement définie ; si possible, isoler complètement les opérations sensibles du processus de travail de l’agent IA.
À long terme, les chercheurs appellent les entreprises d’IA à appliquer des signatures de réponse chiffrées aux modèles, afin que les clients puissent, par des méthodes mathématiques, vérifier que les instructions exécutées par l’agent proviennent bien d’un modèle amont légitime et non d’une version malveillante altérée par un routeur intermédiaire.
FAQ
Pourquoi les routeurs d’agents IA peuvent-ils accéder aux clés privées et aux phrases mnémoniques ?
Les routeurs LLM mettent fin au chiffrement TLS de la connexion et lisent sous forme de texte clair l’intégralité du contenu transmis dans la conversation de l’agent. Si les développeurs utilisent des agents IA pour traiter des tâches impliquant des clés privées ou des phrases mnémoniques, ces données sensibles deviennent entièrement visibles au niveau du routeur, ce qui permet à un routeur malveillant d’intercepter facilement sans déclencher d’alertes anormales.
Comment déterminer si le routeur utilisé est sécurisé ?
Les chercheurs indiquent que « le traitement des certificats » et le « vol des certificats » sont presque invisibles côté client, ce qui rend la détection extrêmement difficile. La recommandation fondamentale est d’empêcher dès la conception que les clés privées et les phrases mnémoniques entrent dans n’importe quel flux de travail d’agent IA, plutôt que de compter sur des mécanismes de détection côté backend, et de privilégier des services de routeur disposant de journaux d’audit de sécurité transparents.
Qu’est-ce que le mode YOLO, et pourquoi accroît-il les risques de sécurité ?
Le mode YOLO est une configuration des frameworks d’agents IA qui permet à l’agent d’exécuter automatiquement des instructions, sans confirmation progressive de l’utilisateur. Dans ce mode, si le trafic de l’agent passe par un routeur malveillant, les instructions malveillantes injectées par l’attaquant seront exécutées automatiquement par l’agent ; l’étendue du dommage peut s’étendre du vol d’identifiants à des opérations malveillantes automatisées, et les utilisateurs sont totalement incapables de déceler l’anomalie avant l’exécution.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Baisse de 0,56 % sur 15 minutes pour ETH : les entrées/sorties des ETF institutionnels et le resserrement de la liquidité on-chain dominent le mouvement
2026-04-19 17:45 à 18:00 (UTC), le rendement d’ETH sur 15 minutes enregistre -0,56 %, pour une clôture dans la fourchette 2294,03 - 2311,0 USDT, avec une amplitude de 0,73 %. La volatilité accrue du marché a stimulé l’activité de trading à court terme, augmentant l’attention portée, tandis que la liquidité globale s’est resserrée.
Le principal moteur de ce mouvement anormal est le flux à court terme des capitaux des ETF institutionnels, combiné à l’activité morose des stablecoins on-chain. Début avril, après un afflux net de 120,24 millions de dollars pour l’ETF spot sur une courte période, le flux s’est rapidement inversé pour afficher ensuite une sortie nette de 64,61 millions de dollars
GateNewsIl y a 2h
L’ETH passe sous 2300 USDT
Message du bot d’actualités Gate, le graphique de Gate indique que l’ETH est passé sous 2300 USDT, avec un prix actuel de 2299,54 USDT.
CryptoRadarIl y a 3h
Le juge a statué que le jeton mème JENNER émis par la famille de célébrités mondaines Kardashian-Jenner n’est pas un titre financier, et a rejeté l’action en justice.
Un tribunal fédéral de district de Californie a statué que le memecoin $JENNER, émis par la mondaine Jenner de la famille Kardashian, ne répond pas à la définition d’un titre, et a rejeté l’action en justice des investisseurs. Le juge a estimé que les demandeurs n’avaient pas réussi à prouver les caractéristiques d’une entreprise commune, et qu’ils pouvaient présenter d’autres demandes devant un tribunal de l’État.
ChainNewsAbmediaIl y a 5h
L’ETH dépasse 2350 USDT
Message du bot Gate News, les cotations de Gate indiquent que l’ETH a dépassé 2350 USDT, prix actuel : 2350 USDT.
CryptoRadarIl y a 7h
L’exploiteur de KelpDAO emprunte $195M ETH à Aave, le TVL chute de 6,28 Md$ après le retrait des baleines
Message de Gate News : l’exploiteur de KelpDAO a emprunté plus de 82 600 ETH ($195M) à Aave en utilisant RSETH comme garantie, ce qui a entraîné l’apparition de créances douteuses sur Aave. Suite à cet incident, de nombreux baleines ont retiré des fonds d’Aave, faisant chuter son TVL de 26,396 Md$ à 20,114 Md$, soit une baisse de 6,28 Md$.
GateNewsIl y a 9h
Vitalik et la présidente du fonds Ethereum, Aya Miyaguchi, confirmés pour intervenir lors du lancement du Hong Kong Ethereum Community Hub
Vitalik Buterin et Aya Miyaguchi prendront la parole lors de l’ouverture du Hong Kong Ethereum Community Hub le 21 avril. Le hub, premier espace physique en Asie soutenu par Ethereum, vise à connecter les écosystèmes de l’Est et de l’Ouest grâce à des discussions sur des sujets clés tels que les preuves à connaissance nulle et l’IA.
GateNewsIl y a 11h
