Istraživači upozoravaju na sigurnosne rizike kod LLM rutera, jedan napad ispraznio Ethereum novčanik
Kripto tržište beleži sve bržu integraciju AI agenata u procese plaćanja i trgovine, dok su vodeće valute poput Bitcoina na 70.855,78 dolara (+0,89% za 24h), Ethereum na 2.186,74 dolara (+0,85%), a Solana na 81,83 dolara (+0,51%), prema tržišnim podacima. Međutim, tim akademskih i industrijskih istraživača otkrio je ozbiljan sigurnosni propust u infrastrukturnom sloju posredničkih servisa poznatih kao “LLM ruteri”. Ove usluge, koje preusmeravaju zahteve između korisnika i AI modela poput OpenAI i Anthropic, omogućile su napadačima pristup osetljivim podacima, uključujući privatne ključeve i API pristupe.
U nedavno objavljenom istraživanju, dokumentovani su slučajevi u kojima je 26 različitih LLM rutera tajno ubacivalo zlonamerne pozive alatima, kradući pristupne podatke i izvršavajući krađu iz novčanika – u jednom slučaju, klijent je izgubio 500.000 dolara (oko 54 miliona dinara) nakon što su napadači ispraznili njegov Ethereum novčanik. Istraživači sa univerziteta u Kaliforniji (Santa Barbara i San Diego), blockchain firme Fuzzland i World Liberty Financial ističu da je problem već sada realan i da su napadi izvedeni u praksi.
“LLM agenti su prešli granicu jednostavnih asistenata i sada automatski izvršavaju finansijske transakcije i upravljaju infrastrukturom. Međutim, korisnici često ne znaju da njihove naredbe prolaze kroz posredničke servise, što otvara prostor za napade”, navode autori rada. Prema izjavi jednog od istraživača, Chaofana Shoua, u praksi je bilo moguće preusmeriti saobraćaj i uzeti kontrolu nad oko 400 sistema za samo nekoliko sati.
Strukturalna ranjivost ovog ekosistema može imati kaskadni efekat: kompromitovan jedan ruter dovoljan je za kompromitaciju celog lanca. Posledice za kripto korisnike su ozbiljne, jer privatni ključevi i pristupni tokeni često prolaze kroz ovakve sisteme u nešifrovanom obliku. U jednom testiranom slučaju, test Ethereum novčanik je momentalno ispražnjen čim je ključ postao dostupan ruteri. “Jednom izloženi, privatni ključevi se mogu kopirati i koristiti bez znanja vlasnika”, piše u izveštaju.
Makroekonomski potencijal AI agenata je ogroman – prema proceni McKinsey-a, do 2030. godine oni bi mogli posredovati u trgovini od 3 do 5 triliona dolara godišnje. Lideri industrije, kao što su osnivači Coinbase-a i Binance-a, predviđaju da će automatizovani agenti uskoro obavljati više transakcija nego ljudi. Međutim, trenutna neuređenost i netransparentnost infrastrukture predstavljaju značajan rizik za sredstva i podatke korisnika.
Ova otkrića podvlače potrebu za hitnim poboljšanjima sigurnosnih protokola i strožom regulativom u AI i kripto ekosistemu, posebno u kontekstu Srbije gde kripto još nije zakonski regulisan, a dobit od trgovanja podleže porezu od 15%.