Investigadores que probaron 428 servicios de enrutamiento LLM descubrieron que 9 están inyectando activamente código malicioso en llamadas de herramientas de IA — los comandos que le dicen a los sistemas que ejecuten código, instalen software o accedan a API. Un router pagado y ocho servicios gratuitos modificaron instrucciones después de que los modelos las generaran pero antes de que los sistemas cliente las ejecutaran, manteniendo formato válido para evitar detección. Los ataques se enfocaron en sesiones autónomas donde los comandos se ejecutan sin aprobación humana, con algunos routers esperando más de 50 solicitudes antes de atacar para evadir pruebas a corto plazo.
Esto ya no es teórico. Un incidente en marzo con el router LiteLLM mostró cómo los ataques de confusión de dependencias pueden comprometer pipelines enteros de solicitudes, dando a los atacantes acceso a cada llamada API que fluye a través de sistemas afectados. La capa de enrutamiento se ha convertido en una superficie de ataque crítica que la mayoría de desarrolladores trata como infraestructura confiable. Con agentes de IA manejando cada vez más operaciones sensibles de forma autónoma, estos servicios intermediarios pueden alterar silenciosamente lo que se ejecuta mientras parecen funcionar normalmente.
El robo de credenciales es igualmente preocupante. Diecisiete routers gratuitos usaron activamente credenciales canario de AWS después de la exposición, y uno drenó fondos de una clave privada de Ethereum monitoreada. Cuando los investigadores filtraron intencionalmente una clave API de OpenAI en foros chinos, generó 100M tokens de uso a través de múltiples sistemas, demostrando cómo las claves comprometidas se extienden por el ecosistema. Mientras tanto, el panorama más amplio de herramientas de IA muestra suposiciones de confianza similares — desarrolladores construyendo agentes se enfocan en frameworks de "cerebro" como LangChain mientras tratan las capas de integración como problemas resueltos.
Si estás enrutando solicitudes LLM a través de servicios de terceros, audita tus proveedores ahora. Implementa firma de solicitudes, monitorea modificaciones inesperadas en llamadas de herramientas, y nunca enrutes operaciones sensibles a través de servicios gratuitos o no verificados. La conveniencia de las API de enrutamiento unificadas no vale el riesgo cuando los atacantes pueden silenciosamente reescribir los comandos de tu IA.