Un investigador de seguridad reveló el 10 de abril una vulnerabilidad sistemática de seguridad en la cadena de suministro en el ecosistema de LLM: en pruebas reales dirigidas a 428 enrutadores de API de terceros, se descubrió que más del 20% de los enrutadores gratuitos estaban inyectando activamente código malicioso; uno de los enrutadores logró robar ETH desde una clave privada controlada por los investigadores.
Vulnerabilidad de cadena de suministro en enrutadores de LLM: riesgos sistémicos revelados por los datos de investigación
El investigador en redes sociales @Fried_rice señaló que el enrutador de API de terceros, ampliamente adoptado en el ecosistema de agentes de LLM, en realidad es un proxy a nivel de aplicación insertado entre el cliente y los modelos ascendentes, capaz de leer en texto claro la carga JSON de cada transmisión. El problema central es que, actualmente, ningún proveedor de enrutadores aplica de forma obligatoria la protección de integridad de cifrado entre el cliente y el modelo ascendente, lo que convierte al enrutador en un punto de intervención de alto valor para ataques en la cadena de suministro.
Cuatro hallazgos clave del estudio de pruebas
Inyección activa de código malicioso: 1 enrutador de pago y 8 enrutadores gratuitos (más del 20%) están inyectando activamente código malicioso en las cargas transportadas en las transmisiones
Mecanismos de evasión adaptativos: 2 enrutadores desplegaron disparadores que pueden evadir dinámicamente la detección, capaces de ocultar el comportamiento malicioso durante revisiones de seguridad
Sondeo activo de credenciales: 17 enrutadores tocaron las credenciales AWS Canary implementadas por los investigadores, lo que indica que existen intentos de robo de credenciales
Robo de activos cifrados: 1 enrutador robó ETH desde una clave privada que estaba en posesión de los investigadores, confirmando que la vulnerabilidad ya puede causar directamente pérdidas de activos en la cadena
Los experimentos de envenenamiento revelan aún más el alcance de la vulnerabilidad: una clave filtrada de OpenAI API se utilizó para generar 100 millones de tokens GPT-5.4; señuelos con configuraciones más débiles produjeron 2B de tokens de facturación, 99 credenciales que abarcaron 440 sesiones de Codex, y 401 sesiones que se ejecutaban en modo autónomo “YOLO”.
Fuga de código de Claude: de un descuido humano al ataque explotado por hackers
A finales de marzo de 2026, el archivo de mapeo de código Java (Source Map File) en el repositorio NPM del código de Claude se expuso accidentalmente, y un gran número de desarrolladores lo descargaron y lo difundieron de inmediato. Anthropic admitió que hubo una filtración de código fuente interno, causada por un descuido humano.
Sin embargo, los hackers convirtieron rápidamente este incidente en un vector de ataque. Zscaler descubrió que los atacantes, bajo el nombre “Claude Code Leak”, difundieron en GitHub paquetes comprimidos ZIP, afirmando que contenían una versión especial de código de Claude compilada a partir del código fuente filtrado, con funciones a nivel empresarial y sin restricciones de mensajes. Si los desarrolladores ejecutaban las instrucciones, el dispositivo sería infectado con el software espía Vidar y herramientas de servidor proxy como GhostSocks. Esta cadena de ataque aprovecha con precisión la curiosidad de los desarrolladores y la atención que prestan a los incidentes oficiales de filtración; es un ataque compuesto típico que combina ingeniería social con malware.
Mecanismos de defensa: tres capas de protección del lado del cliente validadas en el estudio
El equipo de investigación también desarrolló un agente de investigación llamado Mine, que verificó tres mecanismos de defensa efectivos para el lado del cliente:
Estrategia de bloqueo de falla (Circuit Breaker Policy Gating): cuando se detecta un comportamiento anómalo del enrutador, corta automáticamente la conexión para evitar que se transmitan comandos maliciosos
Filtrado de anomalías del lado de respuesta (Response-side Anomaly Screening): realiza verificaciones de integridad completas de las respuestas devueltas por el enrutador para identificar contenido manipulado
Registro transparente solo de adición (Append-only Transparent Logging): crea registros de auditoría de operaciones inmutables para seguimiento y análisis posteriores
Preguntas frecuentes
¿Qué es un enrutador LLM API y por qué su existencia constituye un riesgo de seguridad en la cadena de suministro?
Un enrutador LLM API es un servicio de terceros que actúa como intermediario entre aplicaciones de IA y proveedores de modelos ascendentes, capaz de distribuir solicitudes de llamadas a herramientas a varios proveedores ascendentes. Debido a que el enrutador puede leer en texto claro toda la carga JSON de las transmisiones y que actualmente no existe protección de cifrado de extremo a extremo, un enrutador malicioso o comprometido puede inyectar código malicioso, robar credenciales de API o interceptar activos cifrados en el equipo del usuario sin que este lo sepa.
¿Cuál es la causa del incidente de fuga de código de Claude y por qué lo aprovechan los hackers?
La fuga de código de Claude se debió a que un empleado interno de Anthropic, de forma accidental, publicó en el repositorio NPM archivos de mapeo del código fuente Java. Después de que el incidente atrajera amplia atención, los hackers, aprovechando la curiosidad de los desarrolladores por el contenido filtrado, difundieron en GitHub paquetes comprimidos maliciosos disfrazados como código filtrado, logrando guiar con éxito a los usuarios objetivo para que instalaran activamente malware.
¿Cómo pueden los desarrolladores protegerse en este tipo de ataques en la cadena de suministro?
Las medidas de defensa clave incluyen: usar solo servicios de enrutadores provenientes de fuentes confiables con registros de auditoría de seguridad claros; rechazar códigos “versiones especiales” que se descarguen de canales no oficiales; aplicar el principio de mínimo privilegio en la gestión de credenciales de API; y habilitar mecanismos de detección de anomalías del lado de respuesta en el marco de agentes de LLM para evitar pérdidas de activos en la cadena cuando el enrutador es comprometido.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
