당신의 에이전트에는 검증하지 않은 중개자가 있습니다

연구자들은 Taobao, Xianyu, 그리고 Shopify 기반 스토어프런트에서 유료 LLM API 라우터 28개를 구매했고, 공개 커뮤니티에서 400개를 추가로 수집했습니다. 연구자들은 심어둔 자격 증명으로 요청을 계측하고 모든 라우터를 탐색하여 트래픽을 어떻게 처리하는지 확인했습니다.¹

그 라우터 중 17개가 요청에 심어둔 AWS 카나리 자격 증명을 건드렸습니다. 한 개는 미끼로 놓아둔 개인 키에서 ETH를 빼갔습니다. 팀이 허니팟으로 설정한 유출된 OpenAI 키는 회수하기 전까지 1억 개의 GPT-5.4 토큰과 초록의 표현을 빌리자면 “7개가 넘는 Codex 세션”을 생성했습니다.¹ 별도로 약하게 구성된 디코이는 20억 개의 청구된 토큰, 440개의 Codex 세션에 걸친 99개의 자격 증명, 그리고 이미 자율 YOLO 모드로 실행 중인 401개의 세션을 생성했습니다.¹

LLM API 라우터는 새로운 공격 표면입니다. 아무도 감사하지 않고 있습니다.

MCP 신뢰 체인은 AI 에이전트와 업스트림 모델 사이에 위치한 중개자들(라우터 API, 프록시, 도구 서버)의 연속으로, 각각은 모든 요청과 응답에 대한 완전한 평문 접근 권한을 가집니다. 어떤 제공업체도 엔드투엔드 암호화 무결성을 강제하지 않으므로, 중개자는 전송 중인 데이터를 읽거나, 수정하거나, 유출할 수 있습니다. 현장 연구에 따르면 28개의 유료 라우터 중 17개가 심어둔 AWS 자격 증명을 건드렸고, 한 개는 개인 키에서 ETH를 빼냈습니다. 검증되지 않은 신뢰 체인 링크가 활성 공격 표면이라는 것을 보여줍니다.

TL;DR

타사 LLM API 라우터는 에이전트와 업스트림 모델 사이에서 전송 중인 모든 JSON 페이로드에 대한 완전한 평문 접근 권한을 가진 애플리케이션 계층 프록시입니다. 어떤 제공업체도 클라이언트와 업스트림 사이의 암호화 무결성을 강제하지 않습니다. Liu, Shou, Wen, Chen, Fang이 발표한 새로운 arxiv 논문은 이 공격 표면에 대한 최초의 체계적인 연구를 제시하며, 현장 데이터는 추악합니다. 28개의 유료 라우터 중 1개와 400개의 무료 라우터 중 8개가 응답에 악성 코드를 적극적으로 주입하고 있었고, 2개는 적응형 회피 트리거를 배포하고 있었으며, 17개는 심어둔 AWS 카나리 자격 증명을 건드렸고, 1개는 심어둔 개인 키에서 ETH를 빼갔습니다.¹ 저자들은 두 가지 핵심 공격 클래스와 두 가지 적응형 회피 변종을 공식화한 다음, 네 가지 공개 에이전트 프레임워크에 대해 “네 가지 공격 클래스 전부”(저자들의 표현)를 구현한 Mine이라는 연구 프록시를 구축하고 세 가지 배포 가능한 클라이언트 측 방어 수단을 평가합니다.¹ 에이전트가 직접 구축하지 않은 라우터를 사용하고 있다면, 감사한 적 없는 신뢰 경계가 있는 것입니다.

핵심 요약

• 에이전트 운영자: 클라이언트와 업스트림 모델 사이의 모든 LLM API 라우터는 모든 요청과 응답에 대한 평문 접근 권한을 가진 애플리케이션 계층 프록시입니다. 어떤 제공업체도 암호화 무결성을 강제하지 않습니다. 마켓플레이스에서 라우터를 구매했거나 공개 커뮤니티 목록에서 가져왔다면, 독립적으로 검증하기 전까지는 적대적 중개자로 취급하세요.
• 하네스 빌더: PreToolUse 훅은 도구 실행 전에 실행되지만, 악성 라우터는 생성 후 그리고 훅에 도달하기 전에 모델 응답을 수정합니다. 훅 스택에 응답 측 검증을 추가하고, 비정상적인 응답 형태에 대한 페일 클로즈 정책 게이트를 고려하세요.
• YOLO 모드를 실행하는 모든 사람: 연구자들의 허니팟에서 401개의 세션이 이미 자율 YOLO 모드로 실행 중이었습니다.¹ 자율 세션에서 도구 호출을 수정하는 라우터는 사용자가 읽을 응답을 수정하는 라우터보다 훨씬 더 큰 피해 반경을 가집니다. 통제하지 않는 라우터를 통해 YOLO 모드를 실행하지 마세요.

라우터란 정확히 무엇인가요?

이 논문의 맥락에서 LLM API 라우터는 클라이언트와 하나 이상의 업스트림 모델 제공업체 사이에 위치한 타사 서비스입니다. OpenAI 호환 API를 사용하여 라우터에 요청을 보냅니다. 라우터는 선택한 업스트림(GPT-5, Claude, Gemini, 오픈 웨이트 모델, 또는 이 모든 것의 풀)으로 해당 요청을 전달하고 동일한 형태로 응답을 반환합니다.¹

라우터가 존재하는 이유는 LLM 생태계가 지저분하기 때문입니다. 사람들은 모든 모델에 작동하는 하나의 API 키를 원합니다. 사람들은 가격 차익 거래를 원합니다. 토큰을 대량으로 구매해서 더 저렴하게 재판매하는 것입니다. 사람들은 직접 제공업체 접근이 제한된 지역에 대한 지리적 우회를 원합니다. 사람들은 하나의 클라이언트로 여러 모델을 테스트하고 싶어 합니다. 이 모두는 정당한 이유이고, 건전한 라우터 시장은 이 모두를 충족시킵니다.

문제는 라우터가 애플리케이션 계층 프록시라는 점입니다. 단순히 바이트를 전달하는 것이 아닙니다. 요청 JSON를 읽고, 업스트림을 선택하고, 선택적으로 요청을 다시 쓰고, 전달하고, 응답을 읽고, 선택적으로 응답을 다시 쓰고, 반환합니다. 이 파이프라인의 모든 단계는 라우터의 인프라에서 평문으로 발생합니다.¹

여기에는 TLS에 해당하는 것이 없습니다. TLS는 클라이언트에서 라우터까지, 그리고 라우터에서 업스트림 모델까지의 바이트를 보호합니다. 라우터 자체로부터 페이로드를 보호하는 데는 아무런 역할을 하지 않습니다. 어떤 제공업체도 원래 클라이언트와 최종 모델 사이의 암호화 무결성을 강제하지 않습니다. 모델이 받은 요청이 클라이언트가 보낸 요청과 동일하다는 서명된 단언도, 클라이언트가 받은 응답이 모델이 생성한 응답과 동일하다는 서명된 단언도 존재하지 않습니다.¹

그 부재가 공격 표면입니다.

현장 데이터

연구자들은 세 개의 마켓플레이스(Taobao, Xianyu, Shopify 기반 스토어프런트)에서 유료 라우터 28개를 구매했고, 공개 커뮤니티에서 무료 라우터 400개를 수집했습니다. 심어둔 자격 증명, 알려진 페이로드, 마커 문자열이 포함된 계측된 요청으로 일련의 프로브를 통해 각 라우터를 실행했습니다.¹

다음은 연구자들이 발견한 내용입니다.

적응형 회피 발견이 여러분을 밤잠 못 이루게 할 것입니다. 적응형 회피 트리거는 라우터가 대부분의 경우 정상적으로 작동하다가 특정 조건에서 공격 동작으로 전환된다는 것을 의미합니다. 특정 요청 형태, 특정 클라이언트 지문, 특정 주기성 등입니다. 무작위 요청을 샘플링해서는 잡아낼 수 없습니다. 라우터가 샘플링되고 있을 때를 알고 정상적으로 행동하기 때문입니다.

카나리 자격 증명은 트립와이어입니다. 누군가 그것을 사용하려고 시도하면 발동됩니다. 17개의 라우터가 “건드렸다”는 것은 최소 17개의 라우터가 전송 중인 페이로드에서 자격 증명을 추출하고 AWS에 대해 사용하려고 시도했다는 것을 의미합니다.¹ 초록은 각 라우터에 대한 정확한 메커니즘을 상세히 기술하지는 않지만, 트립와이어 설계는 건드림 = 사용을 의미합니다.

연구자 소유의 개인 키에서 ETH를 빼낸 한 라우터는 더 강력한 발견입니다. 프롬프트의 개인 키는 자격 증명 트립와이어가 아닙니다. 라우터가 실제로 지갑을 비워야만 침해의 증거를 생성하는 미끼입니다. 한 라우터가 그렇게 했습니다.¹

두 가지 오염 연구

연구자들은 겉보기에 양성인 라우터도 타사 노출을 통해 동일한 공격 표면으로 끌어들여질 수 있음을 보여주기 위해 두 가지 추가 연구를 수행했습니다.

연구 1: 유출된 OpenAI 키. 연구자들은 개발자 실수로 노출된 것처럼 작동하는 OpenAI API 키를 유출했습니다. 관찰 기간 동안 그 단일 유출 키는 초록에 따르면 키를 포착한 라우터를 통해 1억 개의 GPT-5.4 토큰과 “7개가 넘는 Codex 세션”을 생성했습니다.¹ 누군가(또는 많은 누군가)가 키를 찾아서 커뮤니티 라우터를 통해 그 키로 요청을 라우팅하고 1억 개의 컴퓨팅 토큰을 태워버렸습니다. 라우터는 도난당한 키를 세탁하는 계층이었습니다.

연구 2: 약하게 구성된 디코이. 연구자들은 약하게 구성된 디코이 엔드포인트를 구축했습니다. 디코이는 20억 개의 청구된 토큰, 440개의 Codex 세션에 걸친 99개의 자격 증명, 그리고 결정적으로 이미 자율 YOLO 모드로 실행 중인 401개의 세션을 생성했습니다.¹

이미 단일 디코이 세트를 통해 라우팅되는 401개의 자율 세션입니다. 그 모든 세션은 악성 중개자가 도구 호출을 주입하거나, 비밀을 유출하거나, 모델의 출력을 수정할 수 있는 활성 공격 표면이었고, 에이전트는 인간이 개입하지 않은 상태로 돌아온 무엇이든 실행했을 것입니다. 401이라는 숫자는 하나의 연구 디코이가 포착한 것입니다. 통제되지 않는 중개자를 통해 라우팅되는 운영상의 모집단은 필연적으로 더 큽니다.

두 가지 핵심 공격 클래스와 두 가지 적응형 변종

논문은 두 가지 핵심 공격 클래스와 두 가지 적응형 회피 변종을 공식화합니다. 초록은 분류 체계에 대해 명시적입니다. AC-1과 AC-2는 핵심 클래스이고, AC-1.a와 AC-1.b는 AC-1의 변종입니다. 연구 프록시 Mine은 네 가지 공개 에이전트 프레임워크에 대해 “네 가지 공격 클래스 전부”(초록의 표현)를 구현합니다.¹

AC-1: 페이로드 주입(핵심 클래스). 라우터가 응답을 수정하여 클라이언트 에이전트가 작동할 추가 지시, 도구 호출, 또는 콘텐츠를 주입합니다. 에이전트는 자신이 모델의 출력을 읽고 있다고 생각하지만, 실제로는 라우터를 소유한 사람의 출력을 읽고 있습니다.

AC-2: 비밀 유출(핵심 클래스). 라우터는 전송 중인 요청과 응답에서 비밀을 읽어내고(API 키, 토큰, 개인 키, 자격 증명처럼 보이는 모든 것) 공격자의 인프라로 전송합니다.

AC-1.a: 의존성 표적 주입(AC-1의 적응형 변종). 주입은 요청이 특정 의존성이나 컨텍스트와 일치할 때만 발동됩니다. 요청이 특정 라이브러리에 대한 것일 때만, 특정 함수가 참조될 때만, 특정 파일 경로가 프롬프트에 나타날 때만 등입니다. 선택적 트리거는 무작위 테스트에서 공격을 보이지 않게 만듭니다.

AC-1.b: 조건부 전달(AC-1의 적응형 변종). 라우터는 특정 조건(시간대, 요청 주기성, 클라이언트 지문)에서만 악성 페이로드를 전달합니다. 동일한 탐지 회피 논리입니다.

이러한 공격 클래스 모두는 클라이언트와 업스트림 모델 모두에게 보이지 않습니다. 양쪽 모두 라우터를 신뢰하기 때문입니다. 클라이언트는 정상적인 응답 형태를 봅니다. 모델은 정상적인 요청 형태를 봅니다. 라우터는 그 중간에서 원하는 것은 무엇이든 자유롭게 할 수 있고, 어느 쪽도 변조를 감지할 암호화된 방법이 없습니다.¹

합성 패턴, 한 계층 아래

저는 같은 구조적 버그에 대해 계속 글을 쓰고 있습니다. 개별적으로 승인된 구성 요소들이 승인되지 않은 동작으로 합성되는 것입니다. Trivy-to-LiteLLM은 패키지 계층에서의 합성이었습니다. 조용한 이그레스는 도구 설명 계층에서의 합성이었습니다. MCP 도구 오염은 프로토콜 계층에서의 합성이었습니다. axios 메인테이너 침해는 인간 메인테이너 계층에서의 합성이었습니다.

라우터 공격은 네트워크 계층에서의 합성입니다. 클라이언트는 라우터를 호출하도록 승인되었습니다. 라우터는 업스트림 모델을 호출하도록 승인되었습니다. 업스트림 모델은 응답하도록 승인되었습니다. 모든 단일 홉이 승인되었습니다. 그 승인된 홉들의 합성이 페이로드 주입과 비밀 유출을 대규모로 생성합니다. 아무도 암호화로 봉인할 생각을 하지 않은 신뢰 경계를 그 합성이 넘기 때문입니다.¹

어떤 단일 계층에서도 이것을 고칠 수 없습니다. 합성 계층에서 고쳐야 하며, 이는 클라이언트가 응답 형태, 도구 호출, 콘텐츠가 모두 업스트림 모델이 그럴듯하게 생성할 것과 일치한다는 것을 독립적으로 검증할 때까지 라우터를 적대적인 것으로 취급해야 한다는 것을 의미합니다.

논문이 평가하는 세 가지 방어

논문은 공격 클래스에 대한 세 가지 클라이언트 측 방어를 평가합니다.¹

1. 페일 클로즈 정책 게이트. 클라이언트는 응답 형태, 허용된 도구 호출, 허용된 URL, 허용된 명령에 대한 정책을 강제합니다. 정책을 벗어나는 모든 것은 페일 클로즈됩니다. 클라이언트는 허용하는 대신 요청을 거부합니다.

2. 응답 측 이상 스크리닝. 클라이언트는 응답 형태 이상, 비정상적인 토큰 패턴, 또는 알려진 공격 마커(알 수 없는 호스트로의 URL, 의심스러운 자격 증명 패턴, 비정상적인 도구 호출 구조)가 포함된 출력을 감시합니다.

3. 추가 전용 투명성 로깅. 클라이언트는 모든 요청과 응답을 아무도 소급하여 수정할 수 없는 추가 전용 로그에 기록합니다. 로깅은 공격을 방지하지는 않지만, 법의학적으로 추적할 수 있게 만듭니다.

이들 중 어느 것도 만병통치약은 아닙니다. 제 판단으로는 페일 클로즈 정책 게이트가 세 가지 중 가장 강력합니다. 공격을 탐지하려고 시도하는 대신 명시적 허용 목록을 벗어나는 모든 것을 거부하기 때문입니다. 하지만 초록은 방어를 순위 매기지 않으므로, 그것을 논문의 발견이 아닌 제 의견으로 취급하세요. 이상 스크리닝은 정상으로 보이는 공격을 놓치며, 적응형 회피 변종(AC-1.a 및 AC-1.b)은 특히 테스트 조건에서 정상적인 동작을 모방합니다. 정책 게이트는 정책만큼만 좋으며, “모델 응답이 어떻게 보여야 하는지”에 대한 완전한 정책을 작성하는 것은 어렵습니다.

실제로 해야 할 일

직접 구축하지 않은 라우터를 통해 LLM API를 호출하는 에이전트를 실행하고 있다면,

1. 운영자를 신뢰하지 않는 한 구매했거나 공개 커뮤니티에서 가져온 라우터 사용을 중단하세요. 여기서 “신뢰”는 일종의 외부 기반(알려진 팀, 서명된 계약, 집행할 수 있는 법적 관할권)을 가지고 있다는 의미이지, “마켓플레이스에서 좋은 리뷰가 있다”는 의미가 아닙니다.

2. 하네스에 페일 클로즈 정책 게이트를 추가하세요. Claude Code에서 이는 명시적 허용 목록을 벗어나는 도구 호출을 거부하는 PreToolUse 훅과 다음 모델 턴으로 넘어가기 전에 응답 형태를 검증하는 PostToolUse 훅을 의미합니다. 훅 스택이 페일 클로즈 정책 계층입니다.

3. 통제하지 않는 라우터를 통해 YOLO 모드를 절대 실행하지 마세요. 허니팟에 있던 401개의 자율 세션이 전례입니다. 라우터가 적대적이고 세션이 자율적이라면, 라우터가 여러분의 기기를 실행하고 있는 것입니다.

4. 모든 것을 기록하세요. 추가 전용 투명성 로깅은 사고를 재구성할 수 있게 해주는 것입니다. 모든 요청. 모든 응답. 모든 도구 호출. 라우터가 접근할 수 없는 곳에 저장하세요.

5. 에이전트 인프라를 운영한다면 암호화 무결성을 강제하세요. 클라이언트를 운영하고 업스트림을 운영한다면, 클라이언트에서 요청에 서명하고 업스트림에서 서명을 검증하세요. 그것이 유일한 진정한 해결책입니다. 라우터는 여전히 평문을 볼 수 있지만, 서명을 무효화하지 않고는 어떤 것도 수정할 수 없습니다.

불편한 함의

라우터 공격 표면은 에이전트 생태계가 보안을 확보하는 것보다 더 빨리 인프라를 출시하는 깨끗한 사례입니다. 사람들은 모든 모델에 대해 하나의 API 키를 원합니다. 사람들은 가격 차익 거래를 원합니다. 사람들은 지역 접근을 원합니다. 라우터가 이 모두를 제공합니다. 시장은 그들에게 보상합니다. 보안 감사는 이루어지지 않았습니다.

MCP 공격 표면에는 50개의 문서화된 취약점이 있습니다. 공급망 공격 표면에는 일주일 만에 다섯 개의 생태계를 넘나든 TeamPCP 캠페인이 있습니다. 조용한 이그레스 공격 표면에는 Clinejection과 MCPTox 벤치마크가 있습니다. 이제 라우터 공격 표면을 추가하세요. 428개의 라우터가 연구되었고, 9개가 악성 코드를 적극적으로 주입하고 있었고, 17개가 심어둔 자격 증명을 건드렸고, 1개가 ETH를 빼갔고, 401개의 자율 세션이 이미 적대적 인프라에서 작동 중이었습니다.¹

패턴은 매번 동일합니다. 우리는 에이전트 스택의 새로운 계층을 구축합니다. 개발자들은 누군가가 감사하기 전에 새로운 계층을 채택합니다. 공격자들이 나타납니다. 연구자들이 나타납니다. 커뮤니티가 발견 사항을 작성합니다. 주의를 기울이고 있던 운영자들은 배포를 패치합니다. 주의를 기울이지 않던 운영자들은 힘든 방법으로 알게 됩니다.

라우터 공격 표면은 “연구자들이 방금 작성했다” 단계에 있습니다. 배포를 패치할 시간이 있습니다. 사용하세요.

FAQ

이 맥락에서 LLM API 라우터란 무엇인가요?

클라이언트와 업스트림 모델 제공업체 사이에 위치하고, OpenAI 호환 API를 노출하며, 하나 이상의 업스트림 모델로 요청을 전달하는 타사 서비스입니다. 모든 요청과 응답에 대한 평문 접근 권한을 가진 애플리케이션 계층 프록시입니다.¹

이것은 CDN이나 일반 HTTP 프록시와 어떻게 다른가요?

CDN은 애플리케이션 페이로드를 읽지 않고 바이트를 전달합니다. LLM API 라우터는 JSON를 읽고, 업스트림을 선택하고, 선택적으로 요청을 다시 쓰고, 전달하고, 응답을 읽고, 선택적으로 응답을 다시 씁니다. 단순 전송이 아니라 데이터에 대한 애플리케이션 수준 처리를 수행하고 있습니다.¹

TLS가 악성 라우터로부터 나를 보호하나요?

아니요. TLS는 클라이언트에서 라우터까지, 그리고 라우터에서 업스트림 모델까지의 바이트를 보호합니다. 라우터는 TLS를 종료하고, 평문을 읽고, 다른 쪽에서 다시 암호화합니다. TLS는 라우터 자체로부터 페이로드를 보호하는 데 아무런 역할을 하지 않습니다.¹

적극적으로 응답을 주입하는 라우터를 어떻게 감지할 수 있나요?

라우터가 적응형 회피를 사용한다면 신뢰할 수 있게 감지할 수 없을 것입니다. 논문의 AC-1.a 및 AC-1.b 공격 클래스는 운영 조건에서만 발동함으로써 탐지 회피를 특별히 표적으로 삼습니다.¹ 최선의 방법은 사후에 공격을 탐지하려고 시도하는 것이 아니라 명시적 허용 목록을 벗어나는 모든 것을 거부하는 페일 클로즈 정책 게이트입니다.

api.anthropic.com에 직접 Claude Code를 실행하고 있습니다. 저는 영향을 받나요?

이 논문에서 설명하는 라우터 공격 클래스에 의해서는 영향을 받지 않습니다. 중개자 없이 Anthropic를 직접 호출하고 있기 때문입니다. 공격 표면은 특히 타사 라우터입니다. 어떤 이유로든 Claude Code를 프록시를 통해 라우팅한다면(기업 게이트웨이, 속도 제한 우회, 모델 집계기), 해당 프록시를 감사해야 합니다.

OpenRouter, LiteLLM, 또는 기타 잘 알려진 집계기는 어떤가요?

논문은 특정 마켓플레이스(Taobao, Xianyu, Shopify 기반 스토어프런트)에서 구매한 28개의 유료 라우터와 공개 커뮤니티 목록의 400개의 무료 라우터를 연구합니다.¹ 명명된 제품의 구체적인 목록을 게시하지는 않습니다. 논문의 요점은 구조적입니다. 신뢰에 대한 별도의 기반이 없는 한 모든 라우터는 신뢰할 수 없는 중개자입니다. 잘 알려진 집계기는 자동으로 더 안전하지 않습니다. 단지 더 가시적일 뿐이며, 이는 다른 속성입니다.

연구자들이 발견한 401개의 자율 세션에 대해 무엇을 해야 하나요?

그 세션들은 트래픽을 연구자들의 디코이를 통해 라우팅한 다른 운영자들의 것입니다. 직접 구축하지 않은 라우터를 통해 자율 에이전트 세션을 실행하고 있다면, 첫 번째 단계는 중단하는 것입니다. 두 번째 단계는 해당 라우터를 통과한 모든 자격 증명을 교체하는 것입니다. 세 번째 단계는 비정상적인 도구 호출이나 출력에 대해 세션 로그를 감사하는 것입니다.

참고 문헌