Yapay zeka tabanlı sistemlerde giderek daha yaygın hale gelen LLM router yapıları, yeni bir güvenlik riskini gündeme taşıdı. Farklı model sağlayıcılarını tek bir uç noktada birleştiren bu ara katmanların, modelden çıkan komutları değiştirebildiği ve hassas verileri okuyabildiği ortaya kondu.
“Your Agent Is Mine” başlıklı çalışmada, 28 ücretli ve 400 ücretsiz LLM router analiz edildi ve bazı servislerin ajanların ürettiği “tool call” komutlarını değiştirdiği tespit edildi. Bu komutlar doğrudan sistem üzerinde aksiyon aldığı için, yapılan müdahaleler kritik bir risk oluşturuyor.

Router Katmanının Rolü
LLM tabanlı ajan sistemlerinde bir istek genellikle doğrudan modele gitmek yerine önce bir router katmanından geçer. Bu katman; isteğin hangi modele yönlendirileceğini belirler, yük dengeleme yapar ve farklı servisler arasında bağlantı kurar. Ancak bu yapı, aynı zamanda tüm veri akışının da geçtiği bir kontrol noktasıdır.
Router, hem kullanıcıdan gelen isteği hem de modelin ürettiği yanıtı görebilir. Daha kritik olan ise, bu yanıtı sistem çalıştırılmadan önce değiştirebilmesidir.
Tool Call Mekanizması Nasıl İstismar Ediliyor?
Bu noktada riskin en net ortaya çıktığı yer “tool call” mekanizmasıdır.
LLM ajanları, sistem üzerinde işlem yapmak için bu komutları üretir. Örneğin bir tool call; bir komut çalıştırabilir, dosya okuyabilir ya da sistemde belirli bir işlemi tetikleyebilir. Normalde bu komutların doğrudan model tarafından üretildiği varsayılır. Ancak router katmanı, bu komutları modelden çıktıktan sonra değiştirip istemciye iletebilir. Üstelik bu değişiklikler geçerli formatta kaldığı için sistem tarafından fark edilmez ve doğrudan çalıştırılır. Bu da sorunun yalnızca modelde değil, model ile sistem arasındaki akışta olduğunu gösterir. Sistem, çalıştırdığı komutun gerçekten model tarafından üretildiğini varsayar ancak aradaki router katmanı bu varsayımı geçersiz hale getirebilir.
Araştırmada dikkat çeken bir diğer nokta ise bu müdahalelerin her zaman açık şekilde gerçekleşmemesi. Bazı router’ların yalnızca belirli koşullar altında, örneğin uzun oturumlarda veya belirli sayıda isteğin ardından davranış değiştirdiği gözlemlendi. Bu da sistemin kısa testlerde normal görünmesine ancak gerçek kullanımda farklı davranmasına neden oluyor.
Otonom Ajanlar ve Veri Güvenliği Riski
Bu risk özellikle otonom çalışan ajan sistemlerinde daha belirgin hale geliyor. Kullanıcı onayı olmadan çalışan bu yapılarda üretilen komutlar doğrudan uygulandığı için, aradaki manipülasyonlar filtrelenmeden sistem üzerinde etkili olabiliyor.
Router katmanı aynı zamanda veri erişimi açısından da kritik. İstek ve yanıtların çoğu zaman düz metin olarak işlenmesi, API anahtarları ve kimlik bilgileri gibi hassas verilerin bu katman tarafından görülebilmesine yol açıyor. Daha karmaşık yapılarda ise tek bir istek birden fazla router üzerinden geçebiliyor. Bu durumda her ara katman veriyi görebilir veya değiştirebilir ve istemci bu zincirin tamamını göremez.
Bu da temel bir probleme işaret ediyor: Sistem yalnızca model çıktısını değil, bu çıktının hangi yoldan geçtiğini de doğrulamak zorunda. Aksi halde güvenilir görünen bir komut, değiştirilmiş bir çıktı olabilir.
