הסוכנים המלאכותיים הראו פגיעות להתקפות על נתבים

קריטית פגיעות בשרשרת סוכני AI: נתבים

נתבים (מתווך API), שמחברים יישומי סוכן מקומיים למודלי AI בענן, מהווים נקודת תקיפה בלתי ידועה אך מסוכנת ביותר. חוקרים מאוניברסיטת קליפורניה בסנטה-ברברה הדגימו כמה בקלות ניתן לנצל פגיעת זו.

מה זה נתב AI?
* תפקיד – מתווך בין יישום לקוח לספק המודל (OpenAI, Anthropic, Google).
* גישה – מלא לכל חבילת JSON שעוברת דרכו.
* אבטחה – רוב הספקים הגדולים אינם משתמשים באינטגריטי קריפטוגרפי; לכן הנתב יכול לשנות בקשות ללא גילוי.

איך חוקרים בדקו את האיום
| שלב | מה עשו | תוצאה |
|-----|--------|-------|
| 1 | גישה ל-28 נתבים מסחריים (Taobao, Xianyu, Shopify) וניתוח 400 חינמיים קהילתיים. | ראו הרבה נקודות פוטנציאליות. |
| 2 | הטמעת payload, החלפת כתובת ה-URL של המותקן או שם החבילה למשאב מבוקר. | JSON ששונה עובר את כל הבדיקות האוטומטיות; קוד מותאם אישית רץ בלקוח דרך `curl`. |
| 3 | דלף מפתח API של OpenAI ונצפה איך התוקפים השתמשו בו לייצור 100 מיליון טוקנים GPT‑5. |
| 4 | חשפו פרטי כניסה בסשנים של Codex. |
| 5 | פרסמו 20 נתבים פגיעים ב-20 IPs ומעקב אחרי פעילותם: 40,000 ניסיונות גישה לא מורשים, ~2 בillion טוקנים משולמים, 99 קבוצות פרטי כניסה ב-440 סשנים Codex (398 פרויקטים). ב-401 מתוך 440 סשנים הופעל מצב אוטונומי YOLO שמאפשר לסוכן לבצע כל פקודה ללא אישור. |

למה זה מסוכן
* קלה לתוקף – אין צורך בהעתקת תעודות; הלקוח מציין את נקודת הקצה של ה-API בעצמו.
* חוסר אימות אינטגריטי – נתב זדוני יכול לשנות פקודה שהסוכן יבצע.
* שירותים לא בטוחים – אפילו מתווכים "אחראיים" יכולים להפוך לוקטור תקיפה.

איך להגן ללא מעורבות הספק
1. חתימת תשובות מהמודל – פתרון אידיאלי, אך עדיין חסר אצל ספקים גדולים (דומה ל-DKIM בדואר).
2. הגנה רב‑שכבתית בצד הלקוח – treat כל נתב כמתחרה פוטנציאלי:
* אימות מבנה JSON ותוכן.
* הגבלות על כתובות URL, שיטות HTTP ו- payload.
* רישום ומעקב אחרי פעילות חשודה.
3. הגבלת גישה למפתחות API – שמירת מפתחות באחסון מאובטח, סיבוב והענקת הרשאות מינימליות.

מסקנה
אין אפשרות לאמת את מקור הפקודה מהמודל AI ללא חתימה מצד הספק. עד שהמנגנונים הללו יופיעו, משתמשים חייבים להגן על עצמם בצד הלקוח, לבדוק בקפידה כל שירות ביניים וליישם מדיניות אבטחה מחמירה.