Gli agenti AI hanno mostrato una vulnerabilità agli attacchi sui router

Vulnerabilità critica nella catena di agenti AI: i router

I router (mediatori API), che collegano le applicazioni agenti locali ai modelli IA cloud, rappresentano un punto d’attacco poco conosciuto ma estremamente pericoloso. Gli studiosi dell’Università della California a Santa Barbara hanno dimostrato quanto sia facile sfruttare questa vulnerabilità.

Cos’è un router AI?
* Ruolo – proxy tra l’applicazione client e il fornitore del modello (OpenAI, Anthropic, Google).
* Accesso – completo a ogni pacchetto JSON che lo attraversa.
* Sicurezza – la maggior parte dei grandi provider non applica integrità crittografica dei dati; quindi il router può modificare le richieste senza essere rilevato.

Come gli studiosi hanno verificato la minaccia
Passo Cosa hanno fatto Risultato
1 Hanno ottenuto l'accesso a 28 router commerciali (Taobao, Xianyu, Shopify) e analizzato 400 gratuiti da comunità aperte. Hanno visto numerosi punti potenzialmente pericolosi.
2 Hanno inserito un payload sostituendo l’URL dell'installer o il nome del pacchetto con una risorsa controllata. Il JSON modificato passava tutti i controlli automatici; un comando `curl` modificato eseguiva codice arbitrario sul client.
3 È stato rubato la chiave API di OpenAI e hanno osservato come gli aggressori l'usesse per generare 100 mila token GPT‑5.
4 Sono stati rivelati i dati di accesso nelle sessioni Codex.
5 Hanno distribuito 20 router specificamente vulnerabili su 20 indirizzi IP e monitorato la loro attività: 40 000 tentativi di accesso non autorizzato, ~2 miliardi di token pagati, 99 set di credenziali in 440 sessioni Codex (398 progetti). In 401 delle 440 sessioni era abilitata la modalità autonoma YOLO, che permette all’agente di eseguire qualsiasi comando senza conferma.

Perché è così pericoloso
* Semplicità dell’attacco – non è necessaria la falsificazione dei certificati; il client indica direttamente l’endpoint API.
* Mancanza di verifica dell’integrità – un router malevolo può cambiare il comando che l’agente eseguirà.
* Servizi insicuri – persino i mediatori “onesti” possono diventare vettori d’attacco.

Come proteggersi senza l’intervento del provider
1. Firma delle risposte dal modello – opzione ideale, ma attualmente assente nei grandi provider (analogo a DKIM per la posta).
2. Difesa multilivello sul lato client – trattate ogni router come un potenziale avversario:
* Validazione della struttura e del contenuto JSON.
* Limitazioni su URL, metodi HTTP e payload.
* Log e monitoraggio delle attività sospette.
3. Limitare l'accesso alle chiavi API – conservatele in depositi sicuri, applicate la rotazione e i privilegi minimi.

Conclusione
Verificare l’origine di un comando da un modello IA è impossibile senza la firma delle risposte dal provider. Finché tali meccanismi non verranno introdotti, gli utenti devono proteggersi sul lato client, verificando attentamente tutti i servizi intermedi e implementando politiche di sicurezza rigorose.