¿Creías que ChatGPT te ayudaba? Un intermediario reescribe tus instrucciones y roba tus criptos
Por qué el acceso barato a la IA puede comprometer la seguridad
Parece que en la cadena de funcionamiento de los servicios modernos de IA se ha encontrado un punto débil del que casi no se hablaba. No se trata de los propios modelos, sino de los intermediarios entre ellos y el usuario. Una nueva investigación muestra que a través de esos servicios se pueden sustituir comandos de forma imperceptible y robar datos.
El trabajo se centra en los llamados «enrutadores de API». Esos servicios reciben solicitudes del usuario y las envían a distintos proveedores de modelos. Para el desarrollador todo parece cómodo: una clave, un formato único, selección automática del modelo. Pero tras la comodidad se oculta un problema. Cada intermediario de este tipo ve todo el tráfico en claro y puede modificarlo sin dejar rastro.
Los autores describen dos esquemas principales de ataque. El primero: la suplantación de comandos. El enrutador intercepta la respuesta del modelo y la modifica. Por ejemplo, en lugar de una instrucción segura para descargar un programa puede insertar un enlace a un script malicioso. El usuario ejecuta la orden sin sospechar y, en la práctica, contamina su sistema. El segundo esquema: la recolección silenciosa de datos. El servicio simplemente copia claves de acceso, contraseñas y otros secretos que pasan por él.
La comprobación mostró que la amenaza ya es real. De 428 servicios estudiados, 9 intervenían directamente en los comandos e insertaban código malicioso. En 17 casos se detectó el uso de claves en la nube ajenas, y un servicio incluso extrajo criptomoneda de una cartera de prueba. Además, no se trata solo de soluciones gratuitas: entre las de pago también se encontró una variante maliciosa.
Lo más interesante es otra cosa. Incluso los servicios «limpios» pueden convertirse en parte del ataque. Si ese intermediario usa una clave robada o se conecta a otro servicio poco protegido, toda la cadena queda vulnerable. En el experimento, una clave deliberadamente «filtrada» procesó más de 100 millones de tokens y reveló decenas de datos ajenos. Y los servidores de prueba con poca protección empezaron a ser utilizados rápidamente por terceros; a través de ellos pasaron alrededor de 2 000 millones de tokens y casi cien credenciales.
Un problema aparte es la sigilosidad de los ataques. Algunos servicios se comportan con normalidad durante las comprobaciones, y las acciones maliciosas se activan después. Por ejemplo, solo tras decenas de solicitudes o solo en modo automático, cuando el sistema ejecuta comandos sin confirmación. En ese modo basta una suplantación para obtener el control total.
Los autores probaron también las defensas. Las medidas simples ayudan solo de forma parcial. Se pueden bloquear comandos peligrosos o monitorizar comportamientos extraños, pero esos filtros se eluden con facilidad. El problema principal sigue siendo que el usuario no puede verificar qué devolvió exactamente el modelo y qué modificó el intermediario.