当前位置：首页 > article >正文

AI 路由暗藏漏洞，恶意攻击可盗取核心敏感信息

article 2026/4/15 21:28:50

在 AI Agent 生态系统中第三方 API 路由正成为一个关键却长期被忽视的攻击面。攻击者可悄无声息地将路由武器化劫持工具调用、清空加密货币钱包并大规模窃取敏感凭证。随着 AI Agent 越来越多地自动化执行高风险任务如运行代码、管理云基础设施、处理金融交易它们高度依赖名为 LLM API 路由的中介服务将请求分发给 OpenAI、Anthropic 和 Google 等上游模型供应商。危险的信任边界加州大学圣塔芭芭拉分校研究人员在题为《你的 Agent 归我所有测量 LLM 供应链中的恶意中介攻击》的最新研究中指出这些路由构成了危险且缺乏防护的信任边界。LLM API 路由位于 AI Agent 客户端与上游模型供应商之间作为应用层代理运行能够以明文形式完整访问每个传输中的 JSON 有效载荷。与传统中间人攻击需伪造 TLS 证书不同这些中介完全由开发者自愿配置为 API 端点。路由攻击链路由会终止客户端 TLS 连接并重新建立与上游的连接从而处于理想位置可以读取、修改或伪造任何工具调用有效载荷且难以被发现。目前主流 AI 供应商尚未强制实施客户端与上游模型之间的加密完整性验证这意味着恶意路由可以轻松重写 Agent 的执行命令而不被察觉。The Mercor breach exposed Silicon Valleys fragile AI supply chain恶意代码注入实践研究团队从淘宝、闲鱼和 Shopify 托管商店等平台采购了 28 个付费路由并从公开社区收集了 400 个免费路由结果令人震惊9 个路由在返回的工具调用中主动注入恶意代码1 个付费、8 个免费17 个免费路由在拦截研究人员提供的 AWS 凭证后触发后续未授权使用1 个路由直接清空了研究人员以太坊私钥中的 ETH2 个路由采用自适应规避策略仅在 50 次请求后激活恶意载荷或专门针对运行 Rust/Go 项目的“YOLO 模式”自主会话。特别危险的是 AC-1 类载荷注入攻击攻击者将良性安装程序 URL 或包名替换为自身控制的恶意端点。由于篡改后的 JSON 载荷语法仍完全有效可轻松通过模式验证绕过绝大多数自动化安全检查。一条 curl 命令的简单重写即可在客户端机器上实现任意代码执行。路由污染实验威胁不仅来自主动恶意的路由即使表面良性的路由也可能被污染。研究显示在中国论坛和聊天群组中故意泄露一个研究用 OpenAI API 密钥后该密钥被滥用生成 1 亿个 GPT-5.4 token并在多个下游 Codex 会话中暴露凭证通过在 20 个域名和 20 个 IP 地址部署故意设置薄弱的路由诱饵吸引了 4 万次未授权访问尝试累计产生约 20 亿计费 token并在 398 个不同项目的 440 个 Codex 会话中暴露 99 组凭证。其中 401 个会话已处于自主“YOLO 模式”工具执行无需逐条人工确认。TraderTraitor: Deep Dive | Wiz Blog防御方案研究团队指出客户端防御虽无法完全验证工具调用的真实来源但以下三项无需上游供应商配合即可快速部署的缓解措施能显著降低风险故障关闭策略门仅允许本地白名单命令以 1.0% 误报率拦截所有 shell 重写和依赖注入攻击若攻击者将载荷托管在白名单域名仍存在绕过风险响应端异常筛查基于良性工具调用模式训练的 Isolation Forest 模型以 6.7% 误报预算标记 89% 的载荷注入尝试只追加透明日志完整记录请求/响应元数据、TLS 指纹及响应哈希支持事后取证分析每条记录仅约 1.26 KB。研究团队强调要从根本上解决来源验证问题需要上游供应商引入响应信封签名机制——类似电子邮件 DKIM通过加密方式将 Agent 执行的工具调用与模型实际输出绑定。在 OpenAI 等主要供应商落地此类响应完整性保护之前使用第三方路由部署 AI Agent 的开发者必须将每一个中介视为潜在对手并实施严格的分层客户端防御。Hardening AI Systems: Security, Robustness, and Safety for Generative Agentic AI | by Adnan Masood, PhD. | Medium只有将路由安全提升到与模型安全同等重视的层面AI Agent 才能真正安全地承担高价值自动化任务。开发者们是时候重新审视那些“透明”的 API 路由了。

AI 路由暗藏漏洞，恶意攻击可盗取核心敏感信息

相关文章：

AI 路由暗藏漏洞，恶意攻击可盗取核心敏感信息

Claude AI 助力发现 Apache ActiveMQ 潜伏 13 年 RCE 漏洞

80% 案例显示：恶意活动激增极大可能预示新安全漏洞

生成式AI应用架构设计终极 checklist（含AWS/Azure/GCP三云适配模板·限免24小时）

基于 Three.js 的 3D 地图可视化：核心原理与实现步骤

ROS Noetic下Realsense D455 IMU数据不输出？手把手教你降级固件和SDK版本

基于FPGA的蓝牙避障循迹小车设计与实现

从Prompt失败到用户留存翻倍，生成式AI UX设计的5个反直觉真相，

终极风扇控制指南：用免费软件彻底告别电脑噪音烦恼

ExaGrid公布第一季度预订额和收入创历史最佳，收入同比实现两位数增长

FPGA PCIe开发避坑指南：从AXI-Stream接口时序到TLP包解析的常见误区

从线性代数到C语言编程：手把手教你实现一个可复用的行列式计算库

从‘纸上谈兵’到‘身体力行’：给产品经理和创业者的具身智能（Embodied AI）落地避坑指南

ZYNQ7020 FPGA从Flash启动的实战指南与常见问题解析

RePaint: 基于去噪扩散概率模型的图像修复技术解析与实践

【verilog】深入解析 always 块中 if / if-else 的执行逻辑：硬件并行与软件顺序的微妙平衡

Linux系统排障必备：dmesg命令的7个实战技巧（附真实案例）

电机控制中ADC采样时序的优化策略与实践

DeepSeek总结的Claude 谈数据的未来

64—存款收益最大化计算器：从算法优化到理财实战

2026届学术党必备的五大降AI率方案实际效果

【Next.js 入门指南】01-核心概念与项目初始化

UE5全景图导出实战：从配置到优化的完整指南

树莓派4B上跑YOLOv8-Pose姿态识别，从PyTorch到ONNX的转换与部署避坑指南

从K-mer频率直方图到发表级图表：手把手教你用R语言美化GenomeScope分析结果

Spring AI ETL进阶：利用text-embedding-v4与Milvus构建可解释性RAG数据管道

如何完整破解Cursor Pro限制：一键激活与无限使用的终极指南

PowerDMIS清除报告数据

从V1到V3+：手把手带你复现Deeplab系列语义分割模型（PaddlePaddle 2.2.1版）

Flutter GetX实战：5分钟搞定BottomSheet主题切换功能（附完整代码）