Os agentes de IA mostraram vulnerabilidade a ataques em roteadores

Vulnerabilidade crítica na cadeia de agentes AI: roteadores

Roteadores (intermediários API), que conectam aplicações locais de agente a modelos IA em nuvem, representam um ponto de ataque pouco conhecido, mas extremamente perigoso. Pesquisadores da Universidade da Califórnia em Santa Bárbara demonstraram o quão fácil é explorar essa vulnerabilidade.

O que é um roteador AI?
* Função – proxy entre a aplicação cliente e o provedor do modelo (OpenAI, Anthropic, Google).
* Acesso – total a cada pacote JSON que passa por ele.
* Segurança – a maioria dos grandes provedores não aplica integridade criptográfica de dados; portanto, o roteador pode alterar solicitações sem ser detectado.

Como os pesquisadores avaliaram a ameaça
Passo O que fizeram Resultado
1 Obtiveram acesso a 28 roteadores comerciais (Taobao, Xianyu, Shopify) e analisaram 400 gratuitos de comunidades abertas. Vident muitos pontos potencialmente perigosos.
2 Implantaram payload, substituindo o URL do instalador ou nome do pacote por seu recurso controlado. O JSON alterado passou em todas as verificações automáticas; um comando `curl` modificado executou código arbitrário no cliente.
3 Vazamento da chave API OpenAI e observaram os atacantes usá‑la para gerar 100 milhões de tokens GPT‑5.
4 Dados de login expostos nas sessões Codex.
5 Implantaram 20 roteadores especificamente vulneráveis em 20 IPs e monitoraram sua atividade. 40 000 tentativas de acesso não autorizado, ~2 bilhões de tokens pagos, 99 conjuntos de credenciais em 440 sessões Codex (398 projetos). Em 401 das 440 sessões, o modo autônomo YOLO estava ativado, permitindo que o agente executasse qualquer comando sem confirmação.

Por que isso é tão perigoso
* Simplicidade do ataque – não requer falsificação de certificados; o cliente indica a endpoint API.
* Falta de verificação de integridade – um roteador malicioso pode alterar o comando que o agente executará.
* Serviços inseguros – mesmo intermediários “de boa fé” podem se tornar vetores de ataque.

Como se proteger sem envolver o provedor
1 Assinatura das respostas do modelo – opção ideal, mas ainda ausente nos grandes provedores (semelhante ao DKIM para e‑mail).
2 Proteção em múltiplas camadas no lado do cliente – trate cada roteador como um adversário potencial:
* Validação da estrutura e conteúdo JSON.
* Restrições de URL, métodos HTTP e payload.
* Logs e monitoramento de atividades suspeitas.
3 Limitar o acesso às chaves API – armazene-as em cofres seguros, aplique rotação e privilégios mínimos.

Conclusão
Verificar a origem do comando da IA sem assinatura das respostas do provedor é impossível. Até que tais mecanismos apareçam, os usuários devem se proteger no lado do cliente, verificando rigorosamente todos os serviços intermediários e implementando políticas de segurança estritas.