AIエージェントはルーターへの攻撃に対して脆弱性を示した

AIエージェントチェーンにおける重大脆弱性：ルーター

ルーター（APIプロキシ）は、ローカルのエージェントアプリケーションとクラウドベースのAIモデルを接続するもので、あまり知られていないが極めて危険な攻撃ポイントです。サンタバーバラ大学カリフォルニア校の研究者は、この脆弱性をどれほど簡単に利用できるかを示しました。

AIルーターとは？
* 役割 – クライアントアプリケーションとモデルプロバイダー（OpenAI、Anthropic、Google）の間のプロキシ。
* アクセス – 通過するすべてのJSONパケットに完全アクセス可能。
* セキュリティ – 大手プロバイダーはデータ整合性を暗号化していないため、ルーターが検知されずにリクエストを変更できる。

研究者が脅威を検証した方法
ステップ 何を行った 結果
1 28 の商用ルーター（Taobao, Xianyu, Shopify）へのアクセス取得と、コミュニティ公開の無料ルーター400件の分析。潜在的に危険なポイント多数発見。
2 ペイロードを挿入し、インストーラURLまたはパッケージ名を自分のコントロール下に置き換え。変更されたJSONはすべて自動チェックを通過し、1つの変更済み `curl` コマンドがクライアントで任意コードを実行。
3 OpenAI APIキー漏洩と、攻撃者がそれを使って100 MトークンのGPT‑5生成に利用。
4 Codexセッションで認証情報が露出。
5 20 の特に脆弱なルーターを20 IPアドレスにデプロイし、活動を監視。40,000 回の未承諾アクセス試行、約2 B有料トークン、440 セッションで99 契約情報セット（398 プロジェクト）。440 セッション中401 では YOLO 自律モードが有効化され、エージェントは確認なしに任意コマンドを実行可能。

なぜ危険なのか
* 攻撃の簡便性 – 証明書偽造不要。クライアント自身がAPI終端点を指定。
* 整合性チェック欠如 – 悪意あるルーターはエージェントが実行するコマンドを変更可能。
* 不安全なサービス – 「善良」プロキシでも攻撃ベクトルに。

サプライヤーの関与なしで防御する方法
1 モデル応答署名 – 理想だが、現時点では大手プロバイダーは未実装（メールのDKIM相当）。
2 クライアント側の多層防御 – すべてのルーターを潜在的敵とみなす：
* JSON構造と内容の検証。
* URL、HTTPメソッド、ペイロード制限。
* 疑わしい活動のログと監視。
3 APIキーへのアクセス制限 – キーは安全ストレージに保管し、ローテーションと最小権限を適用。

結論
AIモデルからのコマンドの起源を検証するには、プロバイダー側による応答署名が不可欠です。そうしたメカニズムが登場するまで、ユーザーはクライアント側で自己防御し、中間サービスを徹底的に検査し、厳格なセキュリティポリシーを導入すべきです