著名 Claude のコードのリーク事件の内部告発者である Chaofan が、近日再び発言し、重要な論文「Your Agent Is Mine」を共同で公開しました。この論文は、AI エージェント分野において最も致命的な中間者攻撃ポイントとして、第3者 LLM ルーター(通称「中継ステーション」)を初めて体系的に明らかにしています。この発見により、OpenRouter や LiteLLM などさまざまな低価格の中継サービスに依存する開発者たちが一斉に警鐘を鳴らしました。「あなたのエージェントは、気づかないうちに完全に制御されているかもしれません。」

image.png

核心的な原理:ルーターがアプリケーション層のMITM

現代の AI エージェントはほぼすべてが第3者のルーターを介してリクエストを転送しています。これらのルーターは、すべての JSON メッセージに対して平文での完全なアクセス権を持ち、ツールコールパラメーターや API Key、秘密鍵などの機密情報にもアクセス可能です。悪意のあるルーターを設置するだけで、以下の2つの隠密な攻撃が可能になります。

Payload Injection(AC-1): 上流モデルからの結果を受け取った後、ツールコールパラメーターを盗んで変更(例: curl の URL を攻撃者サーバーに指向)することで、任意のコード実行(RCE)、永続的なバックドアの挿入、または typosquatting を使って長期潜伏させることができます。

Secret Exfiltration(AC-2): 通信を受動的にスキャンし、sk-、AWS 認証情報、ETH 秘密鍵などの高価値情報を瞬時に盗み出すことができ、その過程は完全に静かです。

攻撃は条件に応じてトリガーされます(例: 50回以上のリクエストや「YOLO」モードに入ると)。非常に隠蔽性が高く、一般ユーザーおよび開発者では気づきにくいです。

実測データは衝撃的

研究チームは、28個の有料ルーターと400個の無料ルーターを全面的にテストした結果、驚くべき事実が判明しました:

9つのルーターにはすでに悪意のあるコードが注入されています;

1つのルーターは研究者の ETH ポケットを直接空にし、損失は50万ドルを超えました;

累計で21億以上のトークンの通信が処理されました;

99個の実際の認証情報が暴露されました;

401個のエージェントセッションは完全に自主的な「YOLO」状態であり、セキュリティリスクは完全に管理不能となっています。

業界の警告:中継ステーションのセキュリティが最大の盲点

AIbase は、この論文の意味は、「ルーターのセキュリティ」を AI エージェントのセキュリティの最前線に押し上げたことであると考えています。過去の開発者はモデル自体のセキュリティや prompt 注入、ツールの権限に注目していましたが、ルーターという「必經之路」を無視していました。ルーターがアプリケーション層の MITM になることで、上流モデルの強大な能力が一瞬で攻撃者に利用されてしまう可能性があります。

個人開発者でも企業向けのエージェントシステムでも、第3者の中継サービスを使用している限り、Payload Injection と Secret Exfiltration の二重の脅威に直面する可能性があります。論文ではまた、低価格・無料、あるいは一部の有料の中継サービスの規制の欠如がリスクをさらに拡大させていることも指摘しています。

開発者への即時行動の提案

公式の直結 API を優先的に使用し、不要な中継を避ける;

自前のルーターについては厳格なコード審査とサンドボックス隔離を行う;

エンドツーエンドの暗号化とリクエスト署名検証を有効にする;

定期的に API Key を交換し、異常なツールコールの動作を監視する。