coindesk.com
La industria de las criptomonedas avanza rápidamente hacia un futuro en el que los agentes de IA gestionan todo, desde la reserva de vuelos hasta la ejecución de operaciones y la realización de pagos, pero nuevas investigaciones sugieren que la infraestructura que sustenta ese cambio podría no ser segura.
McKinsey proyectó recientemente que los agentes de IA podrían mediar entre 3 y 5 billones de dólares del comercio global de consumo para 2030.
El fundador de Coinbase, Brian Armstrong dijo en Xque “muy pronto” habrá más agentes de IA que humanos realizando transacciones en internet. El fundador de Binance, Changpeng Zhao, fue más audaz, los agentes predictivos generarán un millón de veces más pagos que personas, todos en criptomonedas.
Pero un grupo de académicos en seguridad e investigadores en criptomonedas han publicó un documento explicando que una pieza de infraestructura de IA en gran medida ignorada ya se está utilizando para robar credenciales e incluso vaciar carteras de criptomonedas.
Los autores de los artículos son investigadores afiliados a la Universidad de California, Santa Bárbara, la Universidad de California, San Diego, la empresa de blockchain Fuzzland y World Liberty Financial.
Puntos de ataque poderosos
El equipo descubrió que los llamados “enrutadores LLM”, o servicios que se sitúan entre los usuarios y los modelos de IA, pueden actuar como un potente punto de ataque explotado por actores malintencionados. Estos enrutadores están diseñados para enviar solicitudes a modelos como OpenAI o Anthropic, pero también tienen acceso completo a todo lo que pasa a través de ellos, incluyendo datos sensibles.
“Los agentes LLM han avanzado más allá de asistentes conversacionales hacia sistemas que reservan vuelos, ejecutan código y gestionan infraestructura en nombre de los usuarios,” escribieron los investigadores, destacando la rapidez con la que estas herramientas están asumiendo tareas financieras y operativas del mundo real.
Los enrutadores LLM o puntos de ataque dejan a los usuarios extremadamente vulnerables, ya que asumen que están interactuando directamente con un modelo de IA reputado como OpenAI, Grok o similar, cuando en realidad muchas solicitudes pasan por servicios intermediarios que pueden ver y modificar esos datos, dijeron los investigadores.
Según uno de los investigadores, Chaofan Shou, el problema ya no es teórico. Él escribió en Xque “26 enrutadores LLM están inyectando secretamente llamadas a herramientas maliciosas y robando credenciales. Uno drenó la billetera de $500k de nuestro cliente. También logramos envenenar enrutadores para redirigir el tráfico hacia nosotros. En varias horas, podemos tomar el control directo de aproximadamente 400 hosts.”
“Un enrutador malicioso puede reemplazar un comando benigno por uno controlado por un atacante o exfiltrar silenciosamente cada credencial que pase a través de él”, escribieron los investigadores.
Los investigadores afirmaron que, dado que estos sistemas pueden operar de forma autónoma, incluyendo la aprobación y ejecución frecuente de acciones sin revisión humana, una sola instrucción alterada puede comprometer de inmediato los sistemas o los fondos.
Para los usuarios de criptomonedas, las implicaciones son graves, ya que las claves privadas, las credenciales API y los tokens de acceso a monederos a menudo pasan por estos sistemas en texto plano. Los investigadores encontraron múltiples casos en los que los enrutadores simplemente recopilaban esos secretos, revela el informe. En un caso, una cartera de Ethereum de prueba fue vaciada después de que se expusiera su clave privada.
“Una vez expuestas, las credenciales como las claves privadas pueden ser copiadas y reutilizadas sin el conocimiento del usuario,” señalaron los autores del documento.
Riesgos en cascada
El equipo también demostró lo fácil que es ampliar el ataque. Al “envenenar” partes del ecosistema del enrutador, esencialmente engañando a los servicios para que reenvíen el tráfico, pudieron observar y potencialmente controlar cientos de sistemas aguas abajo en cuestión de horas.
“Un solo enrutador malicioso en la cadena es suficiente para comprometer todo el sistema,” escribieron los investigadores, subrayando lo que describen como un problema de eslabón más débil.
Eso sugiere un riesgo en cascada de que, incluso si un usuario confía en su proveedor de IA, la infraestructura intermedia puede no ser confiable, indicaron en su informe.
Esto genera una posible discrepancia, ya que los líderes de la industria predicen cada vez más que los agentes de IA gestionarán una proporción creciente de la actividad criptográfica, mientras que la infraestructura subyacente aún carece de garantías de que los resultados no hayan sido manipulados, añadieron.