¿Cumple su IA con la normativa? Regístrese hoy

Industria

La cadena de suministro de IA es en realidad una cadena de suministro de API: Lecciones de la brecha de LiteLLM

April 10, 2026

Eric Schwake
Head of Product Marketing

El reciente ataque a la cadena de suministro que involucra a Mercor y la vulnerabilidad de LiteLLM sirve como una enorme llamada de atención para los equipos de seguridad empresarial. Mientras que la industria de la seguridad ha pasado el último año obsesionándose con las inyecciones de prompts y los jailbreaks de modelos, esta brecha destaca una vulnerabilidad mucho más sistémica.

El eslabón más débil en la IA empresarial no es necesariamente el modelo en sí. Es el middleware que conecta los modelos con sus datos.

A medida que las organizaciones se apresuran a adoptar la IA, dependen en gran medida de proxies, pasarelas y servidores de Protocolo de Contexto de Modelo (MCP) para enrutar el tráfico entre sus sistemas internos propietarios y los Grandes Modelos de Lenguaje (LLM) externos. Estos puntos de integración forman la "Capa de Acción Agéntica". Cuando una pasarela API como LiteLLM se ve comprometida, los atacantes obtienen las llaves del reino, saltándose el modelo por completo para acceder a los flujos de datos brutos que circulan por debajo.

La anatomía de un ataque a la cadena de suministro de IA.

Herramientas como LiteLLM son increíblemente populares porque resuelven un problema de ingeniería real. Actúan como un proxy universal, permitiendo a los desarrolladores estandarizar las llamadas a la API a través de docenas de proveedores de LLM diferentes (como OpenAI, Anthropic y Google) utilizando un formato único y unificado.

Sin embargo, esto crea un punto de estrangulamiento centralizado y altamente sensible. Si un atacante compromete este middleware, no necesita engañar al modelo de IA con un prompt ingenioso. En su lugar, obtienen acceso directo a las claves API, los prompts sin cifrar que contienen datos propietarios y las respuestas brutas del modelo. El atacante puede interceptar, exfiltrar o manipular los datos en tránsito.

Esta es la cruda realidad de la Era Agéntica. La cadena de suministro de IA es fundamentalmente una cadena de suministro de API.

El punto ciego: Por qué las herramientas heredadas fallan aquí.

Cuando un proxy de terceros o un servidor MCP se ve comprometido, el movimiento lateral resultante es completamente de máquina a máquina.

Como se destaca en el recién publicado Informe sobre el estado de la seguridad de la IA y las API del 1S de 2026, las organizaciones están completamente despreparadas para este cambio arquitectónico:

  • 60.2% de las organizaciones admiten una profunda falta de control sobre la seguridad de los modelos de IA que impulsan sus aplicaciones.
  • 48.9% son esencialmente ciegos al tráfico no humano, de máquina a máquina.

Cuando un atacante secuestra un proxy de IA legítimo, los firewalls de aplicaciones web (WAF) heredados y las pasarelas API estándar fallan por completo. Estas herramientas están diseñadas para inspeccionar el tráfico externo entrante de usuarios humanos. Son arquitectónicamente ciegas a las identidades de máquinas internas que se comunican con los puntos finales de LLM externos.

Para un WAF heredado, un servidor LiteLLM comprometido que exfiltra datos se ve exactamente como una carga de trabajo de IA legítima que ejecuta una tarea programada.

Protegiendo el Middleware con la Plataforma de Seguridad Agéntica de Salt

Para defenderse de estos ataques a la cadena de suministro de próxima generación, las organizaciones deben proteger la Capa de Acción Agéntica. No se puede proteger una infraestructura que no se ve, y no se puede confiar en firmas estáticas para detectar identidades de máquinas comprometidas que actúan de forma maliciosa.

La Plataforma de Seguridad Agéntica de Salt neutraliza estas brechas de proxy a través de dos capacidades diseñadas específicamente:

1. Gestión de la Postura de Seguridad Agéntica (AG-SPM) y el Grafo de Seguridad. Para evitar que el middleware vulnerable exponga su empresa, primero debe mapearlo. Salt construye un dinámico Grafo de Seguridad Agéntica que mapea continuamente las relaciones multifacéticas entre LLM, proxies externos, servidores MCP y API fundamentales. Al escanear repositorios y entornos de ejecución, Salt identifica integraciones de LLM de terceros riesgosas y descubre infraestructura de "IA en la sombra". Si los desarrolladores implementan un proxy LLM no autorizado o vulnerable, AG-SPM lo marca antes de que pueda ser utilizado como arma por un atacante.

2. Detección y Respuesta Agéntica (AG-DR) mediante Análisis de Intención. Incluso con una postura perfecta, ocurrirán vulnerabilidades de día cero en la cadena de suministro. Cuando el middleware está comprometido, los equipos de seguridad necesitan detectar comportamientos anómalos al instante. Salt AG-DR establece líneas base agénticas para toda la conectividad LLM. Realiza un Análisis de Intención Consciente de la Identidad, correlacionando el 100% del tráfico con la identidad de máquina específica (en este caso, el proxy LiteLLM).

Si ese proxy de repente comienza a enrutar tráfico a una dirección IP externa no autorizada o a ejecutar extracciones masivas de datos que se salen de su comportamiento esperado, Salt reconoce la "Secuencia de Intención" maliciosa. La plataforma interrumpe inmediatamente el ataque a velocidad de máquina y activa automáticamente acciones de bloqueo, deteniendo la exfiltración de datos en seco.

La conclusión

El incidente de Mercor y LiteLLM no es un caso aislado; es un adelanto del nuevo manual de ataque. Proteger la innovación de la IA requiere más que solo sanear las indicaciones. Requiere visibilidad absoluta y control de comportamiento sobre la cadena de suministro de API que conecta sus datos con los modelos.

Si desea obtener más información sobre Salt y cómo podemos ayudarle, por favor contáctenos, programar una demostración, o visitar nuestro sitio web. También puedes obtener una evaluación gratuita de la superficie de ataque de API del equipo de investigación de Salt Security y descubrir lo que los atacantes ya saben.

Blog de seguridad de Salt

Suscríbase al boletín de Salt para obtener los últimos recursos y publicaciones del blog.

Nuestras últimas publicaciones