Los agentes de IA mostraron una vulnerabilidad ante ataques a routers

Vulnerabilidad crítica en la cadena de agentes AI: los enrutadores

Los enrutadores (intermediarios API) que conectan las aplicaciones de agente locales con modelos de IA en la nube representan un punto de ataque poco conocido pero extremadamente peligroso. Investigadores de la Universidad de California, Santa Bárbara demostraron cuán fácil es aprovechar esta vulnerabilidad.

¿Qué es un enrutador AI?
* Rol – proxy entre la aplicación cliente y el proveedor del modelo (OpenAI, Anthropic, Google).
* Acceso – completo a cada paquete JSON que pasa por él.
* Seguridad – la mayoría de los grandes proveedores no aplican integridad criptográfica de datos; por lo tanto, el enrutador puede modificar las solicitudes sin ser detectado.

Cómo verificaron los investigadores la amenaza
| Paso | Qué hicieron | Resultado |
|------|--------------|-----------|
| 1 | Accedieron a 28 enrutadores comerciales (Taobao, Xianyu, Shopify) y analizaron 400 gratuitos de comunidades abiertas. | Vieron numerosos puntos potencialmente peligrosos. |
| 2 | Inyectaron un payload cambiando la URL del instalador o el nombre del paquete por su recurso controlado. El JSON modificado pasó todas las verificaciones automáticas; una sola línea modificada de `curl` ejecutaba código arbitrario en el cliente. |
| 3 | Filtró la clave API de OpenAI y observaron cómo los atacantes la usaron para generar 100 millones de tokens GPT‑5. |
| 4 | Exponieron credenciales en sesiones Codex. |
| 5 | Desplegaron 20 enrutadores específicamente vulnerables en 20 IPs y monitorearon su actividad. | 40 000 intentos de acceso no autorizado, ~2 mil millones de tokens pagados, 99 conjuntos de credenciales en 440 sesiones Codex (398 proyectos). En 401 de 440 sesiones se habilitó el modo autónomo YOLO, permitiendo al agente ejecutar cualquier comando sin confirmación. |

Por qué es tan peligroso
* Simplicidad del ataque – no requiere falsificación de certificados; el cliente indica directamente el punto final API.
* Falta de verificación de integridad – un enrutador malicioso puede cambiar la orden que el agente ejecutará.
* Servicios inseguros – incluso los intermediarios “de buena fe” pueden convertirse en vectores de ataque.

Cómo protegerse sin la intervención del proveedor
1. Firmar las respuestas del modelo – una opción ideal, pero aún ausente en los grandes proveedores (similar a DKIM para correo).
2. Protección multinivel en el cliente – trate cada enrutador como un adversario potencial:
* Validación de la estructura y contenido JSON.
* Restricciones sobre URLs, métodos HTTP y payloads.
* Registro y monitoreo de actividad sospechosa.
3. Limitar el acceso a las claves API – almacene las claves en repositorios seguros, aplique rotación y privilegios mínimos.

Conclusión
Verificar el origen de un comando proveniente del modelo AI es imposible sin la firma de respuestas por parte del proveedor. Hasta que aparezcan tales mecanismos, los usuarios deben protegerse en el lado del cliente, verificando minuciosamente todos los servicios intermedios e implementando políticas de seguridad estrictas.