Router LLM: vulnerabilità nella supply chain AI, allarme LiteLLM

Scopri anche

• Exploit su LMDeploy CVE-2026-33626: attacco SSRF immediato dopo disclosure
• AI Act 2026: 100 giorni alle sanzioni, il ritardo italiano
• LinkedIn rivoluziona ricerca e feed con intelligenza artificiale generativa
• CISA website offline per fondi: rischio sicurezza nazionale
• DeepL Voice-to-Voice: traduzione vocale in tempo reale per le aziende
• Accio e i modelli cinesi ridefiniscono l'agentic commerce
• Sorveglianza globale: Citizen Lab svela exploit reti, Italia coinvolta
• 360 Digital Security: l'IA scopre quasi 1.000 bug zero-day, sfida Anthropic
• Attacco Itron aprile 2026: analisi cybersecurity e gap nella trasparenza
• Protocolli e architetture per il web agentico: la standardizzazione della comunicazione tra AI
• L'ecosistema AI cinese tra modelli aperti, agenti commerciali e lavoro invisibile
• Backdoor FIRESTARTER: CISA aggiorna la direttiva dopo violazione federale
• Pack2TheRoot: vulnerabilità critica Linux root senza password
• FIRESTARTER: analisi del malware che colpisce i firewall Cisco
• Dall'NLP al Web Agentico: la standardizzazione della comunicazione tra IA e sistemi
• Milla Jovovich lancia Mem-Palace, sistema di memoria IA open source con punteggio record nei benchmark
• Bitwarden CLI compromesso: attacco supply chain viola npm Trusted Publishing
• Verifica biometrica Tinder: impatto privacy e analisi del sistema World
• Apple integra l'intelligenza artificiale nell'App Store: tagging automatico e modelli on-device per trasformare la scoperta delle app
• NVIDIA acquisisce SchedMD: il controllo dello scheduler Slurm ridefinisce la gestione delle infrastrutture AI

Router LLM: vulnerabilità nella supply chain AI, allarme LiteLLM

Ben 9 router su 428 analizzati iniettano attivamente codice malevolo nelle risposte agli utenti, mentre 17 esfiltrano credenziali API in transito verso i provider. È la fotografia emersa dal primo studio sistematico sui router LLM come confine di fiducia della supply chain AI, pubblicato il 9 aprile 2026 su arXiv con il titolo "Your Agent Is Mine" (arXiv:2604.08407v1). I numeri dimostrano che non si tratta più di rischio teorico: la compromissione ha già raggiunto scala industriale.

Cosa sono i router LLM e perché rappresentano un rischio

I router LLM sono componenti software che fanno da intermediari tra gli utenti e i diversi modelli di intelligenza artificiale. La loro funzione dichiarata è ottimizzare i costi, semplificare l'accesso ai modelli e gestire il traffico tra diversi provider. Tuttavia, la loro posizione architetturale li trasforma di fatto in un man-in-the-middle applicativo legittimo: terminano la sessione TLS lato client e ne aprono una nuova verso il provider finale.

Questa architettura crea un punto di fiducia cieco. L'utente delega implicitamente al router l'accesso completo a prompt, definizioni dei tool, credenziali API e output generati, senza poter verificare crittograficamente l'integrità delle risposte. Come sottolineano i ricercatori di UC Santa Barbara, UC San Diego, Fuzzland e World Liberty Financial nel loro paper, "questi attacchi sono ortogonali alla prompt injection: non modificano il ragionamento del modello, agiscono sul layer JSON a valle dell'inferenza".

Il caso LiteLLM: supply chain AI sotto attacco

Tra le 10:39 UTC e le 16:00 UTC del 24 marzo 2026, due versioni compromesse del pacchetto Python litellm (versioni 1.82.7 e 1.82.8) sono rimaste pubblicate su PyPI. L'incidente è tracciato dal CVE-2026-33634 con severity CVSS v4.0 Base 9.4, un punteggio che indica una vulnerabilità critica. Il gruppo TeamPCP ha ottenuto le credenziali PyPI del maintainer attraverso una precedente compromissione di Trivy, uno scanner di vulnerabilità open source diffuso.

Il caso LiteLLM conferma che la minaccia ha raggiunto la scala industriale. Il paper "Your Agent Is Mine" lo cita come esempio concreto di come la catena di fornitura dell'intelligenza artificiale possa essere compromessa non attraverso l'attacco diretto ai modelli, ma attraverso l'infezione dei componenti di infrastruttura che gestiscono il traffico.

I numeri dell'indagine sui router commerciali e gratuiti

Il dataset analizzato combina 28 router a pagamento, acquistati da piattaforme come Taobao, Xianyu e vetrine Shopify, e 400 router gratuiti raccolti da community pubbliche. La maggior parte dei router gratuiti è costruita sui template open source sub2api (circa 11.000 stelle GitHub) e new-api (25.400 stelle GitHub e 1,25 milioni di pull da Docker Hub). Il fork upstream one-api conta inoltre 30.500 stelle GitHub e 1,19 milioni di pull da Docker Hub.

Dei 428 router analizzati, 1 router a pagamento e 8 gratuiti iniettano attivamente codice malevolo nelle risposte. Ben 17 router gratuiti generano attività AWS attribuibile a credenziali canary osservate in transito, confermando l'esfiltrazione di dati sensibili. Un router è stato osservato mentre drenava ETH da una chiave privata Ethereum predisposta come esca. Particolarmente preoccupante: 2 router implementano già in produzione logiche di evasione adattiva progettate per eludere i test di sicurezza.

La proprietà della chain-integrity e il paradosso della delega

Il paper introduce il concetto di chain-integrity come proprietà del tipo weakest link: "in una catena di k hop, un singolo router malevolo in qualunque posizione è sufficiente a compromettere l'intera traiettoria". La conseguenza è che l'adozione di router LLM, nati per ottimizzare costi e semplificare l'accesso ai modelli, crea un punto di fiducia cieco che non può essere verificato crittograficamente dall'utente finale.

La superficie di attacco è amplificata dalla modalità operativa degli agenti autonomi. Come osserva ICT Security Magazine, le modalità autonome dei coding agent richiedono un contenimento attivo attraverso sandbox, devcontainer o macchine dedicate con accesso di rete limitato a una lista di host fidati. Anthropic, nella propria documentazione "Safe YOLO" per Claude Code, raccomanda l'uso di --dangerously-skip-permissions solo all'interno di container senza accesso a Internet.

Router a pagamento e il mercato dell'accesso API

L'indagine ha rilevato che alcuni negozi su Taobao, Xianyu e Shopify hanno accumulato oltre 30.000 ordini ripetuti per la rivendita di accesso API. Questo dato suggerisce un mercato parallelo in cui l'accesso ai modelli viene rivenduto attraverso router intermedi, spesso senza che l'utente finale sia consapevole dei rischi associati alla delega completa delle proprie credenziali a terze parti.

La combinazione di un modello di business basato sulla rivendita e di componenti software basati su template open source ampiamente diffusi crea le condizioni per attacchi su larga scala. Un singolo template compromesso può potenzialmente influenzare migliaia di istanze distribuite, come dimostrano i numeri di pull da Docker Hub per new-api e one-api.

Attacchi ortogonali alla prompt injection

Una delle scoperte più rilevanti del paper è che gli attacchi identificati non sfruttano vulnerabilità nei modelli stessi né tecniche di prompt injection. Invece di modificare il ragionamento del modello, gli attaccanti agiscono sul layer JSON a valle dell'inferenza, manipolando le risposte prima che raggiungano l'utente finale. Questo approccio rende inefficaci le difese tradizionali basate su guardrail del modello o validazione dei prompt.

La posizione di man-in-the-middle applicativo legittimo dei router permette loro di intercettare, modificare e iniettare contenuto senza che l'utente possa distinguere la risposta originale da quella manipolata. Le logiche di evasione adattiva osservate in due router dimostrano che gli attaccanti stanno già sviluppando tecniche sofisticate per evitare il rilevamento durante i test automatizzati.

Domande frequenti

Cosa sono esattamente i router LLM?

I router LLM sono componenti software intermediari che gestiscono il traffico tra utenti e modelli di intelligenza artificiale, ottimizzando costi e semplificando l'accesso a diversi provider. Agiscono come proxy applicativi, terminando la connessione TLS lato client e aprendone una nuova verso il provider.

Qual è la vulnerabilità specifica del caso LiteLLM?

Il CVE-2026-33634 (CVSS 9.4) riguarda due versioni compromesse del pacchetto Python litellm (1.82.7 e 1.82.8) pubblicate su PyPI il 24 marzo 2026. Le credenziali del maintainer erano state ottenute tramite una precedente compromissione di Trivy, scanner di vulnerabilità open source.

Perché gli attacchi ai router LLM sono difficili da rilevare?

Gli attacchi agiscono sul layer JSON a valle dell'inferenza, non modificando il ragionamento del modello. Questo rende inefficaci le difese basate su guardrail del modello. Inoltre, i router occupano una posizione di man-in-the-middle legittimo, con accesso completo a prompt, credenziali e output.

Quanti router LLM sono effettivamente compromessi?

Su 428 router analizzati (28 a pagamento e 400 gratuiti), 9 iniettano codice malevolo, 17 esfiltrano credenziali e 2 implementano logiche di evasione adattiva. Un router è stato osservato mentre drenava criptovaluta da una chiave privata predisposta come esca.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Approfondimenti correlati

• Sorveglianza globale: Citizen Lab svela exploit reti, Italia coinvolta
• Bitwarden CLI compromesso: attacco supply chain viola npm Trusted Publishing
• BlueHammer zero-day Windows: analisi tecnica e rischi

Fonti

• https://www.ictsecuritymagazine.com/notizie/sicurezza-ai-router-llm/
• https://raffa-aghemo.medium.com/primo-standard-internazionale-per-la-sicurezza-degli-llm-nella-supply-chain-a282f45c7d46
• https://manager.it/in-nessun-corso-insegnano-il-rischio-del-market-timing-emotivo-22/
• https://www.zerberos.com/it/verifiche-di-sicurezza-per-llm-modelli-di-ia-e-agenti-guida-completa/
• https://www.matricedigitale.it/2026/03/27/cisa-kev-langflow-trivy-tp-link-hikvision-cyber-alert/