LLMエージェントに依存するシステムは、モデルに到達する前に、中間ルーティングサービスを通じてリクエストを送信することが多くあります。これらのルーターは単一のエンドポイントを通じてさまざまなプロバイダーに接続し、リクエストがどのように処理されるかを管理します。このレイヤーは、何が実行されるか、どのようなデータが公開されるかに影響を与える可能性があります。最近の研究では、モデルAPIにアクセスするために使用される28個の有料ルーターと400個の無料ルーターを調査しました。
悪意のあるルーターを通じたリクエスト–レスポンスのライフサイクル
一部のルーターは既にコマンドを改ざんしている
テストでは、1つの有料ルーターと8つの無料ルーターがツール呼び出しに悪意のあるコードを挿入しました。「これは純粋に仮説的な脅威ではありません」と研究者らは述べており、この振る舞いは有料および無料ルーター市場に現れていることに注目しています。
ツール呼び出しは、LLMエージェントがシステムに送信して、コマンド実行やソフトウェアインストールなどのアクションを実行するための指示です。モデルがこれらの指示のいずれかを生成すると、クライアントシステムがそれを実行します。
ルーターはモデルがそれらを生成した後、クライアントに到達する前に、これらのツール呼び出しを変更できます。形式は有効なままであるため、システムは変更されたコマンドを受け入れて実行します。
2026年3月のLiteLLMルーターに関連する事件は、これが実践でどのように起こるかを示しました。攻撃者は依存関係の混乱を使用して、そのリクエストパイプラインに悪意のあるコードを挿入しました。そのコードは、影響を受けたシステムによって処理されるすべてのリクエストとレスポンスにアクセスできました。
一部の変更は遅延またはターゲットを絞ったものである
1つのケースでは、命令の変更は50回の前のリクエストの後にのみ現れました。別のケースでは、ユーザーの承認なしにコマンドが自動的に実行されるセッションを対象としていました。
これらは自律セッションで、ツール呼び出しは手動確認なしに実行されます。これにより、ルーターは短いテスト中に正常に動作し、後でより長いまたはより制限されていないセッションで変更を適用できます。
認証情報は露出後に使用されている
ルーターはAPIキーおよび他の認証情報を含む平文でリクエストとレスポンスを処理します。これにより、指示を変更することなく機密データを収集できます。
無料ルーターセットでは、17個のルーターがサービスを通過した後、研究者によって設定されたAWSカナリー認証情報と相互作用しました。1つのルーターは、露出後に監視のために配置されたEthereumプライベートキーから資金を吸い上げました。
カナリー認証情報は、不正な使用を検出するために使用される監視対象のキーです。これらのケースは、実行中に目に見える変更がなくても、転送中に取得されたデータが後で使用できることを示しています。
露出は再利用されたキーと脆弱なリレーを通じて広がる
1つの実験では、研究者が管理するOpenAI APIキーが中国のフォーラムおよびAPIアクセスを共有するために使用されるWeChat および Telegram グループに意図的にリークされました。そのキーは後に再利用され、1億個のトークンの使用と7個以上のCodexセッションが生成されました。少なくとも1つのセッションでは、そのキーの下で処理されるトラフィックに複数の認証情報が現れました。
別の実験では、脆弱なリレーサービスが20個のドメインと20個のIPアドレスにデプロイされました。これらのリレーは147個のIPアドレスから40,000を超える不正アクセス試行を受け、後でアクティブなルーティングパスに組み込まれました。
それらは約20億個のトークンを処理し、約13 GBのダウンストリームトラフィックを生成しました。その活動には、398個のプロジェクトまたはホスト全体の440個のCodexセッション、および99個のリークされた認証情報が含まれました。
すべての440個のセッションはシェル実行パスを公開しました。つまり、コマンドはシステムを通じて実行できました。そのうち、401個のセッションは自律モードで動作しました。
リクエストはしばしば複数のルーターを通過する
単一のリクエストは、モデルプロバイダーに到達する前に複数のルーターを通過できます。各ルーターは、プロンプト、APIキー、ツール呼び出しペイロードを含む平文でリクエストとレスポンスを読み取ることができます。
単一の侵害されたルーターは、チェーン内の他のルーターによる検出なしにツール呼び出しペイロードを変更できます。クライアントは通常、最初のルーターのみを構成し、残りのルーティングパスは見えません。
クライアントが受け取ったツール呼び出しペイロードが、モデルが元々生成したものと一致することを確認するメカニズムはありません。
コントロールはクライアントが見ることができるものに依存する
クライアント側のコントロールは、場合によっては露出を軽減できます。高リスクのシェルコマンドをブロックすると、実行を変更しようとする明らかな試みを停止できます。検出システムは、実行前に異常なツール呼び出しにフラグを立てることができます。ログは、後での調査のためにリクエストとレスポンスデータを記録します。
これらの対策は、実行前にツール呼び出しペイロードを検査します。ペイロードが、モデルが元々生成したものと一致することは確認しません。
「体系的な分類法と測定方法論を公開することで、エージェントシステムの仲介者信頼に関する優れたセーフガードを構築する能力をコミュニティに提供します。公開開示の防御的利益は、セキュリティ研究コミュニティの確立されたノルムと一致した、攻撃能力の限界的な増加をかなり上回ると考えています。」と彼らは結論づけました。
翻訳元: https://www.helpnetsecurity.com/2026/04/16/llm-router-security-risk-agent-commands/
