Các nhà nghiên cứu từ Đại học California đã thiết lập một cái bẫy — một ví tiền mã hóa chứa một lượng nhỏ Ether và được kết nối với cơ sở hạ tầng định tuyến AI của bên thứ ba. Một trong các bộ định tuyến đã mắc bẫy. Chiếc ví đã bị rút cạn. Khoản lỗ chưa đến 50 đô la, nhưng hàm ý của nó vượt xa giá trị tiền tệ.
Thí nghiệm đó là một phần của một nghiên cứu rộng hơn được công bố gần đây, trong đó các nhà nghiên cứu đã kiểm tra 428 bộ định tuyến mô hình ngôn ngữ lớn — 28 trả phí và 400 miễn phí — được thu thập từ các cộng đồng trực tuyến công khai.
Những gì họ phát hiện ra thật đáng báo động. Chín bộ định tuyến đang chủ động chèn mã độc hại vào lưu lượng truy cập đi qua chúng. Hai bộ sử dụng kỹ thuật né tránh để tránh bị phát hiện. Mười bảy bộ đã truy cập các thông tin xác thực AWS thuộc về các nhà nghiên cứu. Một bộ đã đánh cắp tiền mã hóa thực sự.
Các Bộ Định Tuyến Trở Thành Điểm Mù Bảo Mật Như Thế Nào
Các bộ định tuyến LLM nằm giữa ứng dụng của nhà phát triển và các nhà cung cấp AI như OpenAI, Anthropic và Google. Chúng hoạt động như những trung gian, gói gọn quyền truy cập API vào một đường ống duy nhất.
26 bộ định tuyến LLM đang bí mật tiêm nhiễm các lệnh công cụ độc hại và đánh cắp thông tin đăng nhập. Một bộ đã rút cạn ví 500k đô la của khách hàng chúng tôi.
Chúng tôi cũng đã đầu độc các bộ định tuyến để chuyển tiếp lưu lượng truy cập về chúng tôi. Trong vòng vài giờ, chúng tôi có thể trực tiếp tiếp quản ~400 máy chủ.
Kiểm tra bài báo của chúng tôi: https://t.co/zyWz25CDpl pic.twitter.com/PlhmOYz2ec
— Chaofan Shou (@Fried_rice) April 10, 2026
Vấn đề là mang tính cấu trúc. Những bộ định tuyến này chấm dứt các kết nối internet được mã hóa — được gọi là TLS — và đọc mọi tin nhắn ở dạng văn bản thuần túy trước khi chuyển chúng đi. Điều đó có nghĩa là bất cứ thứ gì được gửi qua chúng, bao gồm khóa riêng tư, cụm từ khôi phục (seed phrases) và thông tin đăng nhập, đều hoàn toàn hiển thị với bất kỳ ai vận hành bộ định tuyến.
Theo các nhà nghiên cứu, ranh giới giữa xử lý thông tin đăng nhập bình thường và đánh cắp trắng trợn là vô hình từ phía máy khách. Các nhà phát triển không có cách nào để phân biệt. Một bộ định tuyến trông giống như một dịch vụ hợp pháp có thể âm thầm chuyển tiếp dữ liệu nhạy cảm cho một bên thứ ba mà không kích hoạt bất kỳ cảnh báo nào.
Đồng tác giả Chaofan Shou cho biết trên X rằng 26 bộ định tuyến được phát hiện đang "bí mật tiêm nhiễm các lệnh công cụ độc hại và đánh cắp thông tin đăng nhập".
Nguồn: LinkedIn
Nghiên cứu cũng chỉ ra điều mà các nhà nghiên cứu gọi là "chế độ YOLO" — một cài đặt có sẵn trong nhiều khung tác nhân AI cho phép các tác nhân chạy lệnh mà không dừng lại để hỏi ý kiến người dùng.
Một bộ định tuyến độc hại kết hợp với một tác nhân tự động thực thi có thể di chuyển tiền hoặc lấy cắp dữ liệu trước khi một nhà phát triển thậm chí kịp nhận thấy có điều gì đó không ổn.
Bảo Mật Tiền Mã Hóa: Truy Cập Miễn Phí Được Sử Dụng Làm Mồi Nhử
Báo cáo từ nghiên cứu chỉ ra rằng các bộ định tuyến miễn phí đặc biệt đáng ngờ. Việc truy cập API với chi phí rẻ hoặc miễn phí dường như được sử dụng như một động lực để dụ các nhà phát triển định tuyến lưu lượng truy cập qua cơ sở hạ tầng có thể đang thu thập thông tin đăng nhập trong nền.
BTCUSD giao dịch ở mức $70,982 trên biểu đồ 24 giờ: TradingView
Ngay cả những bộ định tuyến ban đầu sạch cũng không an toàn — các nhà nghiên cứu phát hiện ra rằng các bộ định tuyến hợp pháp trước đây có thể bị âm thầm chuyển thành độc hại một khi các nhà khai thác tái sử dụng thông tin đăng nhập bị rò rỉ thông qua các hệ thống chuyển tiếp được bảo mật kém.
Giải pháp được khuyến nghị cho đến nay rất đơn giản: giữ khóa riêng tư và cụm từ khôi phục hoàn toàn ngoài bất kỳ phiên tác nhân AI nào.
Về lâu dài, các nhà nghiên cứu cho rằng các công ty AI cần ký điện tử (cryptographically sign) các phản hồi của họ để các lệnh mà một tác nhân thực thi có thể được truy xuất nguồn gốc một cách toán học về đúng mô hình thực tế — loại bỏ khả năng của bất kỳ trung gian nào can thiệp vào chúng mà không bị phát hiện.
Hình ảnh nổi bật từ Xage Security, biểu đồ từ TradingView
