Pesquisadores alertam que roteadores de agentes de IA maliciosos podem se tornar um novo vetor de roubo de criptomoedas

Pesquisadores da Universidade da Califórnia identificaram uma nova classe de ataque em nível de infraestrutura capaz de esvaziar carteiras de criptomoedas e injetar código malicioso em ambientes de desenvolvedores – e esse tipo de roubo de cripto já aconteceu na prática.

Um estudo sistemático publicado no arXiv em 8 de abril de 2026, intitulado “Measuring Malicious Intermediary Attacks on the LLM Supply Chain”, testou 428 roteadores de API de IA e descobriu que 9 injetaram código malicioso ativamente, 17 acessaram credenciais AWS de pesquisadores e pelo menos um roteador gratuito drenou ETH com sucesso de uma chave privada controlada pelos pesquisadores.

A superfície de ataque é a camada de roteamento de agentes de IA – uma infraestrutura que se expandiu rapidamente à medida que os agentes de IA se tornam integrados aos fluxos de execução de blockchain. A questão não é mais se essa ameaça é teórica. A questão é quantos roteadores comprometidos já estão lidando com sessões de usuários reais.

Descubra: As Melhores Pré-vendas de Cripto para Acompanhar Este Mês

Como os roteadores de agentes de IA maliciosos realmente funcionam – Proxies de texto simples, não túneis criptografados

A infraestrutura padrão de API de LLM foi projetada para um relé simples de solicitação-resposta: um cliente envia um comando (prompt), o roteador o encaminha ao provedor do modelo e a resposta retorna.

Roteadores maliciosos exploram exatamente esse modelo de confiança – eles se posicionam como proxies de camada de aplicação no meio dessa troca, com acesso total de leitura e escrita aos payloads JSON em texto simples que passam por eles em ambas as direções.

Não existem padrões de criptografia que governem o que um roteador pode inspecionar ou modificar em trânsito. Um roteador malicioso vê o prompt bruto, a resposta do modelo e tudo o que estiver inserido em ambos – incluindo chaves privadas, credenciais de API, frases semente de carteiras ou código sendo gerado para um ambiente de implantação em tempo real.

Ele pode alterar a resposta antes que chegue ao usuário, injetar código adicional em uma saída de geração de código ou exfiltrar silenciosamente credenciais para um endpoint externo.

Os pesquisadores da UC construíram um agente chamado “Mine” para simular quatro tipos distintos de ataques contra frameworks públicos, visando especificamente sessões autônomas em modo YOLO, onde o agente executa ações sem confirmação humana em cada etapa.

Dois dos 428 roteadores testados implementaram evasão adaptativa – um esperou 50 chamadas de API antes de ativar o comportamento malicioso, especificamente para evitar a detecção durante os testes iniciais. Isso não é um raspador de credenciais genérico. É uma ferramenta direcionada, construída para sobreviver ao escrutínio.

O vetor de ataque por envenenamento agrava ainda mais o risco. Quando chaves de API da OpenAI vazadas são processadas por meio de uma infraestrutura de roteamento comprometida, o raio de alcance escala rápido – 2,1 bilhões de tokens processados e 99 credenciais expostas em 440 sessões Codex apenas no ambiente de teste controlado dos pesquisadores.

Quem está realmente exposto – e por que as defesas existentes não alcançam esse nível de roubo de cripto

O problema não é o fato de roteadores de API de terceiros existirem. O problema é que todo o modelo de confiança para a infraestrutura de agentes de IA assume que a camada de roteamento é neutra – e nenhum mecanismo de fiscalização verifica atualmente essa suposição em escala.

Desenvolvedores que constroem ferramentas on-chain, scripts de automação DeFi e agentes de negociação autônomos roteiam chamadas de API através de infraestrutura de terceiros constantemente.

Roteadores gratuitos provenientes de comunidades públicas – a categoria onde foram encontrados 8 dos 9 injetores maliciosos – são amplamente utilizados justamente por reduzirem o custo de construção de aplicações baseadas em LLM. À medida que a infraestrutura de execução automatizada em DeFi se torna mais dependente de dados externos e coordenação de agentes, a camada de roteamento torna-se um alvo cada vez mais atraente.

A segurança de carteira existente – dispositivos de hardware, configurações multisig, armazenamento de chaves offline – não protege contra um roteador que intercepta uma chave privada antes que ela chegue à camada de assinatura, ou que injeta código malicioso em um script de implantação que posteriormente é executado on-chain.

As perdas anuais por roubo de criptomoedas já atingiram 1,4 bilhão de USD. Este vetor de ataque não exige a quebra da criptografia. Ele requer apenas o comprometimento de um middleware que a maioria dos usuários nunca examina.

As sessões autônomas em modo YOLO representam o ponto de exposição de maior risco. Quando um agente executa transações de várias etapas sem pontos de verificação humanos, um roteador malicioso tem uma janela maior para agir – e o usuário não possui um momento intermediário para detectar comportamentos anômalos.

O fundador da Solayer, @Fried_rice, ampliou as descobertas no X em 10 de abril de 2026, descrevendo a situação como “roteadores de API de terceiros, amplamente utilizados por agentes de modelos de linguagem de grande escala”, que carregam “vulnerabilidades de segurança sistêmicas” – uma caracterização que teve forte impacto dada a escala da adoção de agentes autônomos em ferramentas DeFi.

26 LLM routers are secretly injecting malicious tool calls and stealing creds. One drained our client $500k wallet.

We also managed to poison routers to forward traffic to us. Within several hours, we can directly take over ~400 hosts.

Check our paper: https://t.co/zyWz25CDpl pic.twitter.com/PlhmOYz2ec

— Chaofan Shou (@Fried_rice) April 10, 2026

As defesas recomendadas pelos pesquisadores são do lado do cliente: portões de fechamento de falhas que interrompem a execução quando respostas anômalas são detectadas, filtragem de anomalias de resposta e registros de auditoria do tipo “apenas anexo” para trilhas de auditoria que não podem ser adulteradas pelo próprio roteador. A longo prazo, a equipe da UC defende padrões de assinatura criptográfica que tornariam as respostas de LLM verificáveis – o mesmo princípio arquitetônico que torna a integridade dos oráculos on-chain um requisito de design essencial, e não um detalhe secundário.