Alcuni ricercatori dell'Università della California hanno allestito una trappola: un portafoglio di criptovalute caricato con una piccola quantità di Ether e collegato a un'infrastruttura di routing basata sull'intelligenza artificiale di terze parti. Uno dei router è caduto nella trappola. Il portafoglio è stato svuotato. La perdita è stata inferiore a 50 dollari, ma le implicazioni sono andate ben oltre tale importo.
Questo esperimento faceva parte di uno studio più ampio pubblicato di recente, in cui i ricercatori hanno testato 428 router di modelli linguistici di grandi dimensioni — 28 a pagamento e 400 gratuiti — raccolti da comunità online pubbliche.
Ciò che hanno scoperto è stato allarmante. Nove router stavano inserendo attivamente codice dannoso nel traffico che li attraversava. Due utilizzavano tecniche di elusione per evitare di essere rilevati. Diciassette avevano avuto accesso alle credenziali AWS appartenenti ai ricercatori. Uno ha rubato criptovalute reali.
Come i router sono diventati un punto cieco in termini di sicurezza
I router LLM si interpongono tra l'applicazione di uno sviluppatore e i fornitori di intelligenza artificiale come OpenAI, Anthropic e Google. Funzionano da intermediari, raggruppando l'accesso alle API in un unico flusso.
26 router LLM stanno segretamente iniettando chiamate a strumenti dannosi e rubando le credenziali. Uno di questi ha svuotato il portafoglio del nostro cliente di 500.000 dollari.
Siamo anche riusciti a indurre i router a reindirizzare il traffico verso di noi. Nel giro di poche ore, possiamo assumere il controllo diretto di circa 400 host.
Consulta il nostro articolo: https://t.co/zyWz25CDpl pic.twitter.com/PlhmOYz2ec
— Chaofan Shou (@Fried_rice) 10 aprile 2026
Il problema è strutturale. Questi router terminano le connessioni internet crittografate, note come TLS , e leggono ogni messaggio in chiaro prima di inoltrarlo. Ciò significa che tutto ciò che viene inviato attraverso di essi, incluse chiavi private, frasi di recupero e credenziali di accesso, è completamente visibile a chiunque gestisca il router.
Secondo i ricercatori, il confine tra la normale gestione delle credenziali e il furto vero e proprio è invisibile dal punto di vista del cliente. Gli sviluppatori non hanno modo di distinguere le due cose. Un router che sembra un servizio legittimo può inoltrare silenziosamente dati sensibili a terzi senza far scattare alcun allarme.
Il coautore Chaofan Shou ha dichiarato su X che sono stati scoperti 26 router che "iniettavano segretamente chiamate a strumenti dannosi e rubavano le credenziali".
Lo studio ha inoltre segnalato quella che i ricercatori hanno definito "modalità YOLO" (You Only Live Once – Sii sempre in ritardo): un'impostazione integrata in molti framework di agenti di intelligenza artificiale che consente agli agenti di eseguire comandi senza fermarsi a chiedere l'approvazione degli utenti.
Un router dannoso, combinato con un agente ad esecuzione automatica, potrebbe spostare fondi o esfiltrare dati prima ancora che uno sviluppatore si accorga che qualcosa non va.
Sicurezza crittografica: l'accesso gratuito usato come esca
I risultati dello studio indicano che i router gratuiti sono particolarmente sospetti. L'accesso API a basso costo o gratuito sembra essere utilizzato come incentivo per spingere gli sviluppatori a instradare il traffico attraverso infrastrutture che potrebbero raccogliere le credenziali in background.
Anche i router che inizialmente sono puliti non sono sicuri: i ricercatori hanno scoperto che i router precedentemente legittimi possono essere silenziosamente trasformati in dispositivi dannosi quando gli operatori riutilizzano le credenziali trapelate attraverso sistemi di inoltro scarsamente protetti.
La soluzione consigliata per ora è semplice: tenere le chiavi private e le frasi di recupero completamente fuori da qualsiasi sessione con un agente di intelligenza artificiale.
A lungo termine, i ricercatori affermano che le aziende che si occupano di intelligenza artificiale devono firmare crittograficamente le proprie risposte, in modo che le istruzioni eseguite da un agente possano essere ricondotte matematicamente al modello effettivo, impedendo così a qualsiasi intermediario di manometterle senza essere scoperto.
Immagine principale fornita da Xage Security, grafico da TradingView