428 LLM राउटिंग सेवाओं को टेस्ट करने वाले रिसर्चर्स ने पाया कि 9 सेवाएं AI टूल कॉल्स में एक्टिवली मैलिशस कोड इंजेक्ट कर रही हैं — ये वो कमांड हैं जो सिस्टम को कोड रन करने, सॉफ्टवेयर इंस्टॉल करने या API एक्सेस करने को कहते हैं। एक पेड राउटर और आठ फ्री सेवाओं ने मॉडल्स के इंस्ट्रक्शन जेनरेट करने के बाद लेकिन क्लाइंट सिस्टम के एक्जीक्यूट करने से पहले इन्हें मॉडिफाई किया, डिटेक्शन से बचने के लिए वैलिड फॉर्मेटिंग बनाए रखी। अटैक्स ऑटोनॉमस सेशन्स को टारगेट करते हैं जहां कमांड ह्यूमन अप्रूवल के बिना रन होते हैं, कुछ राउटर शॉर्ट-टर्म टेस्टिंग से बचने के लिए 50+ रिक्वेस्ट का इंतजार करके अटैक करते हैं।
यह अब थ्योरेटिकल नहीं है। मार्च में LiteLLM राउटर के साथ हुई घटना ने दिखाया कि डिपेंडेंसी कन्फ्यूजन अटैक्स पूरे रिक्वेस्ट पाइपलाइन को कैसे कॉम्प्रोमाइज कर सकते हैं, अटैकर्स को अफेक्टेड सिस्टम्स से गुजरने वाले हर API कॉल तक एक्सेस देकर। राउटिंग लेयर एक क्रिटिकल अटैक सरफेस बन गई है जिसे ज्यादातर डेवलपर्स ट्रस्टेड इन्फ्रास्ट्रक्चर मानते हैं। AI एजेंट्स के ऑटोनॉमसली सेंसिटिव ऑपरेशन्स हैंडल करने के साथ, ये इंटरमीडिएरी सेवाएं चुपचाप बदल सकती हैं कि क्या एक्जीक्यूट होता है जबकि नॉर्मली फंक्शन करती दिखती हैं।
क्रेडेंशियल थेफ्ट उतनी ही चिंताजनक है। सत्रह फ्री राउटर्स ने एक्सपोजर के बाद AWS कैनरी क्रेडेंशियल्स एक्टिवली इस्तेमाल किए, और एक ने मॉनिटर्ड Ethereum प्राइवेट की से फंड्स ड्रेन किए। जब रिसर्चर्स ने चाइनीज फोरम पर इंटेंशनली OpenAI API की लीक की, तो इसने मल्टिपल सिस्टम्स में 100M टोकन्स का यूसेज जेनरेट किया, दिखाकर कि कॉम्प्रोमाइज्ड की इकोसिस्टम में कैसे फैलती हैं। इस दौरान, व्यापक AI टूलिंग लैंडस्केप समान ट्रस्ट असम्प्शन दिखाता है — एजेंट्स बनाने वाले डेवलपर्स LangChain जैसे "ब्रेन" फ्रेमवर्क पर फोकस करते हैं जबकि इंटीग्रेशन लेयर्स को सॉल्व्ड प्रॉब्लम मानते हैं।
अगर आप थर्ड-पार्टी सेवाओं के जरिए LLM रिक्वेस्ट्स राउट कर रहे हैं, तो अभी अपने प्रोवाइडर्स ऑडिट करें। रिक्वेस्ट साइनिंग इम्प्लीमेंट करें, अनएक्सपेक्टेड टूल कॉल मॉडिफिकेशन मॉनिटर करें, और कभी भी सेंसिटिव ऑपरेशन्स को फ्री या अनवेटेड सेवाओं से राउट न करें। यूनिफाइड राउटिंग API की कन्वीनिएंस उस रिस्क के लायक नहीं है जब अटैकर्स चुपचाप आपके AI के कमांड्स रीराइट कर सकें।