Ce qui rend cette d\u00e9couverte structurellement significative est la surface d’attaque qu’elle expose \u2013 non pas les smart contrats, ni les failles de gestion de cl\u00e9s priv\u00e9es au sens conventionnel, mais la couche de routage qui se situe entre un agent IA et le mod\u00e8le de langage sous-jacent qu’il interroge.<\/p>\n
Alors que les agents IA autonomes sont de plus en plus int\u00e9gr\u00e9s aux portefeuilles crypto, aux protocoles DeFi et aux flux de trading automatis\u00e9s, cette couche interm\u00e9diaire est devenue une infrastructure porteuse, et elle fonctionne actuellement sans normalisation de s\u00e9curit\u00e9 significative.<\/p>\n
Comment fonctionnent les routeurs d’agents IA malveillants : la cha\u00eene d’attaque interm\u00e9diaire et ses capacit\u00e9s contre les portefeuilles crypto<\/h2>\n
Un routeur API d’IA, dans un usage standard, fonctionne comme une couche middleware \u2013 il re\u00e7oit les requ\u00eates d’un agent ou d’une application d’IA, les transmet \u00e0 un ou plusieurs fournisseurs de LLM, et renvoie les r\u00e9ponses.<\/p>\n
Les d\u00e9veloppeurs et les \u00e9quipes utilisent fr\u00e9quemment des routeurs tiers pour g\u00e9rer les cl\u00e9s API, \u00e9quilibrer la charge entre les fournisseurs ou r\u00e9duire les co\u00fbts en acc\u00e9dant \u00e0 des points de terminaison de mod\u00e8les moins chers. Le routeur se trouve, par conception, dans une position de visibilit\u00e9 totale sur chaque instruction (prompt), appel d’outil et r\u00e9ponse qui transite par lui.<\/p>\n
Un routeur malveillant exploite pr\u00e9cis\u00e9ment cette position. Plut\u00f4t que de transmettre de mani\u00e8re transparente le trafic de l’agent, il peut inspecter, modifier ou r\u00e9pondre aux appels d’outils crypto \u2013 les commandes structur\u00e9es qu’un agent IA \u00e9met pour interagir avec des syst\u00e8mes externes, y compris des portefeuilles.<\/p>\n
![\"\"](\"https:\/\/www.coinspeaker.com\/wp-content\/uploads\/2026\/04\/photo_2026-04-13_13-29-13.jpg\")
<\/p>\n
Source : Arxiv<\/a><\/p>\n<\/div>\n Dans le cadre d\u00e9fini par les chercheurs de l’UC, cela permet au moins trois types d’attaques actives : l’injection de code malveillant dans le pipeline d’ex\u00e9cution des outils de l’agent IA, la collecte d’identifiants API et de cl\u00e9s priv\u00e9es transmises ou r\u00e9f\u00e9renc\u00e9es dans les sessions d’agent, et le d\u00e9ploiement d’une logique d’\u00e9vasion adaptative qui retarde le comportement malveillant \u2013 attendant, dans certains cas document\u00e9s, 50 cycles d’appels ou plus avant de s’activer \u2013 pour tromper les surveillances rudimentaires.<\/p>\n Les chercheurs ont \u00e9galement identifi\u00e9 un quatri\u00e8me vecteur qu’ils d\u00e9crivent comme particuli\u00e8rement dangereux dans les contextes agentiques : l’exploitation du \u00ab mode YOLO \u00bb, la capacit\u00e9 d’ex\u00e9cution autonome pr\u00e9sente dans plusieurs frameworks d’agents majeurs, o\u00f9 l’agent agit sur les r\u00e9ponses des appels d’outils sans confirmation humaine.<\/p>\n Un routeur capable de s’injecter dans cette boucle peut, en principe, autoriser des transactions que l’utilisateur n’a jamais explicitement approuv\u00e9es. Cette capacit\u00e9 n’est pas th\u00e9orique \u2013 l’\u00e9quipe a confirm\u00e9 qu’un routeur parmi ceux test\u00e9s a activement vid\u00e9 l’ETH du portefeuille d’un chercheur.<\/p>\n L’\u00e9quipe de recherche a test\u00e9 428 routeurs au total : 28 provenant d’annonces payantes sur les boutiques Taobao, Xianyu et Shopify, et 400 obtenus gratuitement via des canaux communautaires publics. Parmi ceux-ci, 9 routeurs \u2013 1 payant, 8 gratuits \u2013 ont \u00e9t\u00e9 confirm\u00e9s comme injectant activement du code malveillant dans les appels d’outils.<\/p>\n Parall\u00e8lement, 17 ont acc\u00e9d\u00e9 \u00e0 des identifiants AWS \u00ab canary \u00bb que l’\u00e9quipe avait int\u00e9gr\u00e9s comme pi\u00e8ges de d\u00e9tection, et 2 ont d\u00e9ploy\u00e9 des techniques d’\u00e9vasion adaptatives sp\u00e9cifiquement con\u00e7ues pour d\u00e9jouer la surveillance comportementale. Plus de 20 % de l’\u00e9chantillon complet pr\u00e9sentait un comportement malveillant ou des indicateurs de risque mat\u00e9riel, selon la propre classification des chercheurs.<\/p>\n Les donn\u00e9es d’exposition des identifiants issues des exp\u00e9riences d’empoisonnement de l’\u00e9quipe constituent, si elles sont exactes, la conclusion la plus lourde de cons\u00e9quences du document. Une cl\u00e9 OpenAI fuit\u00e9e plac\u00e9e sur des forums chinois, WeChat et Telegram a \u00e9t\u00e9 utilis\u00e9e pour traiter 100 millions de tokens GPT-5.4 et plus de 7 sessions Codex autonomes avant d\u00e9tection. Un identifiant leurre plus faible a d\u00e9clench\u00e9 2,1 milliards de tokens facturables \u00e0 travers 440 sessions Codex et 401 sessions autonomes en mode YOLO, exposant 99 identifiants au total.<\/p>\n 26 LLM routers are secretly injecting malicious tool calls and stealing creds. One drained our client $500k wallet.<\/p>\n We also managed to poison routers to forward traffic to us. Within several hours, we can directly take over ~400 hosts. <\/p>\n Check our paper: https:\/\/t.co\/zyWz25CDpl<\/a> pic.twitter.com\/PlhmOYz2ec<\/a><\/p>\n — Chaofan Shou (@Fried_rice) April 10, 2026<\/a><\/p><\/blockquote>\nR\u00e9sultats sp\u00e9cifiques des chercheurs de l’UC : \u00e9chelle, comportements malveillants confirm\u00e9s et limites \u00e9pist\u00e9miques d’une pr\u00e9publication arXiv<\/h2>\n
\n