Notícias do Gate News, 10 de abril, o fundador da Solayer @Fried_rice divulgou numa publicação nas redes sociais uma vulnerabilidade de segurança de grande importância na cadeia de fornecimento de modelos de linguagem de grande dimensão (LLM). A investigação aponta que os agentes de LLM estão cada vez mais a depender de routers de API de terceiros para encaminhar pedidos de chamadas de ferramentas para múltiplos fornecedores a montante. Estes routers funcionam como proxies na camada de aplicação e conseguem aceder, em texto simples, às cargas JSON de cada transmissão, mas, atualmente, nenhum fornecedor faz cumprir no lado do cliente e entre o router e o modelo a montante a proteção de integridade criptográfica.
O artigo avaliou 28 routers pagos adquiridos na Taobao, Xianyu e lojas independentes Shopify, bem como 400 routers gratuitos recolhidos de comunidades públicas. Os resultados indicaram que 1 router pago e 8 routers gratuitos estão a injetar ativamente código malicioso, 2 implementaram gatilhos de evasão adaptativos, 17 tocaram credenciais AWS Canary detidas pelos investigadores e mais 1 roubou ETH a partir de uma chave privada detida pelos investigadores.
Duas linhas de investigação sobre envenenamento adicionalmente demonstraram que até routers aparentemente inofensivos podem ser explorados: uma chave da OpenAI que vazou foi usada para gerar 100 milhões de token GPT-5.4 e mais de 7 sessões de Codex; já um isco com configurações mais fracas produziu 2 mil milhões de token de faturação, 99 credenciais que atravessaram 440 sessões de Codex e 401 sessões que já estavam a executar em modo autónomo YOLO.
A equipa de investigação construiu um agente experimental chamado Mine, capaz de executar todas as quatro categorias de ataques em quatro frameworks de proxies públicos e de validar três medidas de defesa do lado do cliente: estratégia de fecho por falha com gate, filtragem de anomalias na resposta no endpoint e registo apenas append-only e transparente.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
CryptoQuant: Explosão de vulnerabilidade do KelpDAO, a crise mais grave desde 2024, queda de 33% no Aave TVL
De acordo com a avaliação da CryptoQuant em 23 de abril, o ataque de exploração ao KelpDAO ocorrido na semana passada representou, dentro de 72 horas, um risco potencial de inadimplência para a Aave entre US$ 124 milhões e US$ 230 milhões; o TVL despencou 33%, as taxas de empréstimo de USDT e USDC dispararam de 3,4% para 14% e a taxa de empréstimo de ETH atingiu o nível mais alto desde janeiro de 2024, em 8%.
MarketWhisper9m atrás
HexagonalRodent, ligado ao Lazarus da Coreia do Norte, mira desenvolvedores de Web3 com ataques de engenharia social
Mensagem do Gate News, 24 de abril — Pesquisadores de segurança da Slow Mist emitiram um alerta de que HexagonalRodent, um grupo de ataque afiliado à organização Lazarus da Coreia do Norte, está mirando desenvolvedores de Web3 por meio de táticas de engenharia social, incluindo vagas remotas falsas com altos salários e
GateNews26m atrás
CoW DAO Propõe Programa Discricionário de Subsídios para Compensar Vítimas de Sequestro de Domínio
Mensagem do Gate News, 24 de abril — A CoW DAO propôs a criação de um programa discricionário de subsídios para compensar usuários que sofreram perdas com o incidente de sequestro do domínio cow.fi em 14 de abril. O programa fornecerá até 100% de reembolso das perdas por meio de uma alocação única do fundo de reserva da defesa legal para vítimas elegíveis que
GateNews30m atrás
Bitwarden CLI sofre ataque à cadeia de suprimentos, pacote malicioso distribuído por 1,5 horas
Mensagem do Gate News, 24 de abril — A versão 2026.4.0 do Bitwarden CLI foi comprometida em um ataque à cadeia de suprimentos entre 17:57 e 19:30 ET em 24 de abril, segundo o CISO da SlowMist 23pds. Os atacantes exploraram o GitHub Actions no pipeline de CI/CD do Bitwarden para injetar um pacote malicioso que foi distribuído brevemente "
GateNews38m atrás
Tesouro dos EUA sanciona senador cambojano Kok An por rede de golpes cripto que mira americanos
Mensagem do Gate News, 24 de abril — O Escritório de Controle de Ativos Estrangeiros do Departamento do Tesouro dos EUA (OFAC) sancionou o senador cambojano Kok An, que supostamente controla complexos de golpes em todo o país, junto com outras 28 pessoas e entidades ligadas à sua rede. A medida mira o que a OFAC descreve como
GateNews59m atrás
Hackeador do KelpDAO Converte ~1.979 BTC via THORChain; Atacante da Balancer Reaparece Após 5 Meses de Silêncio
Mensagem do Gate News, 24 de abril — De acordo com a PeckShield, o atacante do KelpDAO concluiu a transferência de todo o dinheiro da Ethereum para a rede Bitcoin, roteando aproximadamente 1.979 BTC através do THORChain, com os fundos amplamente lavados.
Enquanto isso, o atacante da Balancer reapareceu após permanecer em silêncio por cinco meses)
GateNews1h atrás
