Исследователи Калифорнийского университета описали новый класс атак на инфраструктуру ИИ, который уже применяли в реальности: злонамеренные маршрутизаторы LLM способны сливать криптокошельки и внедрять вредоносный код в рабочие среды. В систематическом исследовании (arXiv, 8 апреля 2026) протестированы 428 маршрутизаторов (28 платных с Taobao, Xianyu и Shopify и 400 бесплатных). Итог: 9 — внедряли код, 17 — лезли в учётные данные AWS, один бесплатный — вывел эфир (ETH) с кошелька, контролируемого исследователями.
Маршрутизаторы работают как прокси на уровне приложений и видят незашифрованные JSON-запросы и ответы: могут читать приватные ключи, API‑ключи, сид‑фразы, менять ответы модели или подмешивать код. Команда UC создала агента «Mine» и смоделировала четыре типа атак, нацелившись на автономный режим YOLO (агент действует без подтверждения человека). Два маршрутизатора ухищрялись избегать детектирования: один активировался только после 50‑й API‑заявки. При «отравлении» утёкшие ключи OpenAI прогнали 2,1 млрд токенов и раскрыли 99 учётных данных в 440 сеансах Codex и 401 YOLO‑сессии.
Риск высок для разработчиков DeFi‑инструментов и автоторговых агентов: аппаратные кошельки, мультисиг и офлайн‑хранение не спасут, если ключ перехвачен ДО подписи или код внедрён в деплой. По данным Chainalysis, убытки от криптокраж уже $1,4 млрд; автономные YOLO‑сессии — наиболее уязвимы. Основатель Solayer Чаофан Шоу в соцсетях 10 апреля 2026 года сообщил:
«26 маршрутизаторов LLM тайно подсовывают вредоносные вызовы инструментов и крадут доступы. Один опустошил кошелёк нашего клиента на $500 тыс.»
Рекомендации: клиентские «стоп‑краны» при аномалиях, фильтрация ответов, неизменяемые логи и переход к криптографической подписи ответов LLM.