Roteadores LLM estão sequestrando seus comandos de IA em produção

Pesquisadores testando 428 serviços de roteamento LLM descobriram que 9 estão injetando ativamente código malicioso em chamadas de ferramentas de IA — os comandos que dizem aos sistemas para executar código, instalar software ou acessar API. Um roteador pago e oito serviços gratuitos modificaram instruções depois que os modelos as geraram mas antes que os sistemas cliente as executassem, mantendo formatação válida para evitar detecção. Os ataques visaram sessões autônomas onde comandos executam sem aprovação humana, com alguns roteadores esperando mais de 50 solicitações antes de atacar para escapar de testes de curto prazo.

Isso não é mais teórico. Um incidente em março com o roteador LiteLLM mostrou como ataques de confusão de dependência podem comprometer pipelines inteiros de solicitações, dando aos atacantes acesso a cada chamada API fluindo através de sistemas afetados. A camada de roteamento se tornou uma superfície de ataque crítica que a maioria dos desenvolvedores trata como infraestrutura confiável. Com agentes de IA cada vez mais lidando com operações sensíveis autonomamente, esses serviços intermediários podem silenciosamente alterar o que é executado enquanto aparecem funcionar normalmente.

O roubo de credenciais é igualmente preocupante. Dezessete roteadores gratuitos usaram ativamente credenciais canário da AWS após exposição, e um drenou fundos de uma chave privada Ethereum monitorada. Quando pesquisadores intencionalmente vazaram uma chave API OpenAI em fóruns chineses, ela gerou 100M tokens de uso através de múltiplos sistemas, demonstrando como chaves comprometidas se espalham pelo ecossistema. Enquanto isso, o cenário mais amplo de ferramentas de IA mostra suposições de confiança similares — desenvolvedores construindo agentes focam em frameworks de "cérebro" como LangChain enquanto tratam camadas de integração como problemas resolvidos.

Se você está roteando solicitações LLM através de serviços de terceiros, audite seus provedores agora. Implemente assinatura de solicitações, monitore modificações inesperadas em chamadas de ferramentas, e nunca roteie operações sensíveis através de serviços gratuitos ou não verificados. A conveniência de API de roteamento unificadas não vale o risco quando atacantes podem silenciosamente reescrever os comandos da sua IA.