Mensaje de BlockBeats, el 10 de abril, el fundador de Solayer, @Fried_rice, publicó en redes sociales que los agentes de modelos de lenguaje grandes (LLM) dependen cada vez más de enrutadores de API de terceros para distribuir solicitudes de llamadas a herramientas a múltiples proveedores ascendentes. Estos enrutadores funcionan como agentes de capa de aplicación, capaces de acceder a cada carga útil JSON en tránsito en texto plano, pero actualmente ningún proveedor aplica protecciones de integridad criptográfica entre el cliente y los modelos ascendentes.

El artículo probó 28 enrutadores de pago comprados en Taobao, Xianyu y tiendas independientes de Shopify, así como 400 enrutadores gratuitos recopilados de comunidades públicas. Los resultados revelaron que 1 enrutador de pago y 8 enrutadores gratuitos estaban inyectando activamente código malicioso, 2 desplegaron activadores de evasión adaptativa, 17 accedieron a credenciales de AWS Canary en posesión de los investigadores, y 1 robó ETH de una clave privada en posesión de los investigadores.

Dos estudios de envenenamiento demostraron además que los enrutadores aparentemente inofensivos también pueden ser explotados: una clave de OpenAI filtrada se utilizó para generar 100 millones de tokens GPT-5.4 y más de 7 sesiones de Codex; mientras que un señuelo con configuración débil generó 2 mil millones de tokens facturados, 99 credenciales que abarcan 440 sesiones de Codex y 401 sesiones que ya se ejecutaban en modo YOLO autónomo.

El equipo de investigación construyó un agente de investigación llamado Mine, que puede implementar las cuatro clases de ataques contra cuatro marcos de agentes públicos y verificó tres defensas del lado del cliente: control de puerta de enlace de estrategia de bloqueo por fallas, filtrado de anomalías del lado de la respuesta y registro transparente de solo adición.