THE CHAIN JOURNAL
Independent Crypto Editorial
Un livello nascosto nello stack AI
Il rischio più recente per la sicurezza crypto non nasce da un bug nello smart contract né da un bridge compromesso. Nasce da un livello intermedio che molti team sottovalutano: i LLM router. Questi sistemi decidono dove vengono inviati prompt e tool call, e i ricercatori avvertono che alcuni router possono iniettare istruzioni malevole, esfiltrare credenziali e modificare in silenzio il comportamento di un agente. Nel settore crypto questo è cruciale, perché gli assistenti AI usati per codice, operazioni di trading e flussi wallet possono entrare in contatto con seed phrase, private key e segreti API.
La parte più pericolosa è l’invisibilità dell’attacco. Un router malevolo non deve violare la crittografia né forzare direttamente un wallet. Gli basta posizionarsi tra utente e modello, alterando il traffico in modo abbastanza plausibile da non attirare subito l’attenzione. In termini pratici, un assistente di coding, un bot di supporto o un agente di automazione può diventare un veicolo di furto se il layer di routing è compromesso o non è stato verificato con attenzione.
Cosa hanno trovato i ricercatori
Le evidenze accademiche recenti rafforzano l’allarme. Uno studio pubblicato questo mese ha analizzato 28 router a pagamento e 400 router gratuiti, rilevando che una parte di essi inseriva codice malevolo, attivava comportamenti evasivi o interagiva con credenziali canary controllate dai ricercatori. Il lavoro ha anche riportato almeno un caso di router capace di drenare ETH da una chiave privata appartenente ai ricercatori. Un altro studio correlato, uscito all’inizio dell’anno, ha mostrato che gli attacchi alla supply chain e la manipolazione delle istruzioni possono compromettere sistemi autonomi in più fasi della catena d’attacco.
Chaofan Shou, uno dei ricercatori citati nel report, ha sintetizzato il problema in modo diretto: “26 LLM routers are secretly injecting malicious tool calls and stealing creds.” Il numero esatto conta meno della conclusione. Il perimetro da difendere non è solo il modello. È l’intera architettura di orchestrazione: routing, strumenti, log e permessi. Per i team crypto, questo è un cambio di paradigma, perché il confine percepito tra fornitore AI e utente non basta più come barriera di sicurezza.
Perché le crypto sono le prime esposte
Le crypto sono particolarmente esposte perché si basano su segreti di alto valore e azioni rapide e irreversibili. Sempre più sviluppatori usano agenti AI per scrivere smart contract, verificare transazioni, automatizzare il supporto e interagire con l’infrastruttura wallet. È proprio questa comodità a interessare gli attaccanti. Se un router può modificare in silenzio una tool call, può deviare un trasferimento, esporre una credenziale o raccogliere dati che in seguito sbloccano un wallet o un account exchange. Non è un caso limite teorico: è un percorso diretto dalla produttività alla perdita finanziaria.
La lezione più ampia è che i fallimenti di sicurezza nell’AI spesso sembrano scorciatoie operative ordinarie. I team riutilizzano router di terze parti, concatenano strumenti di fornitori diversi e concedono permessi troppo ampi perché l’agente “funzioni e basta”. Nel contesto crypto, questa velocità può costare cara. Le stesse ipotesi di fiducia che rendono comoda l’automazione possono anche renderla fragile, perché un solo intermediario compromesso può minare l’intero flusso senza toccare direttamente la blockchain.
Il nuovo problema di fiducia
Questa storia riguarda soprattutto l’architettura della fiducia. A mio avviso, molti sviluppatori crypto stanno accelerando verso flussi agentici senza trattare il routing layer come un vero perimetro di sicurezza. Il settore ha investito anni nel rafforzare custody, multisig ed esecuzione onchain, ma l’AI introduce un bersaglio più morbido: il percorso software prima che la transazione venga persino costruita. Se l’intermediario può riscrivere i comandi, il monitoraggio post-trade non basta a cancellare il danno.
Il punto più importante è che i team di sicurezza non devono considerare un router neutrale solo perché è invisibile. La ricerca suggerisce che la manipolazione nascosta può avvenire sia nell’ecosistema gratuito sia in quello a pagamento, quindi il prezzo non è un indicatore sufficiente di affidabilità. Una difesa credibile richiede oggi permessi rigorosi, allowlist dei router, simulazione delle transazioni, verifica degli output e isolamento aggressivo delle credenziali. Senza questo, resta aperta la porta a una compromissione silenziosa.
Cosa significa per gli investitori
Per gli investitori, l’impatto immediato è chiaro: i prodotti crypto con AI richiedono una due diligence più severa di quella suggerita dal marketing. La domanda non è solo se l’app usa un buon modello. La vera domanda è se l’intero percorso dal prompt all’azione sia stato auditato, segmentato e limitato. Fondi, desk di tesoreria e trader che usano sistemi agentici dovrebbero assumere che una sola integrazione debole possa generare un rischio operativo sproporzionato.
Il prossimo elemento da monitorare è se wallet, exchange e provider di strumenti per sviluppatori inizieranno a pubblicare disclosure sulla sicurezza dei router, standard sui permessi e audit indipendenti. Se non lo faranno, sarà probabilmente il mercato a imporre il tema dopo una perdita concreta. Nelle crypto, la fiducia spesso si costruisce in pubblico solo dopo una rottura.
Focus: I router AI malevoli trasformano il layer di orchestrazione in un nuovo vettore di furto per chiavi, credenziali e attività wallet.
Adam McCauley, Blockchain Security Analyst, The Chain Journal
