✍️ Gate 广场「创作者认证激励计划」进行中!
我们欢迎优质创作者积极创作,申请认证
赢取豪华代币奖池、Gate 精美周边、流量曝光等超 $10,000+ 丰厚奖励!
立即报名 👉 https://www.gate.com/questionnaire/7159
📕 认证申请步骤:
1️⃣ App 首页底部进入【广场】 → 点击右上角头像进入个人主页
2️⃣ 点击头像右下角【申请认证】进入认证页面,等待审核
让优质内容被更多人看到,一起共建创作者社区!
活动详情:https://www.gate.com/announcements/article/47889
还在淘宝买AI中转站?Claude Code源码泄露吹哨人:至少数十个被投毒
Claude Code原始码泄露事件吹哨人最新研究揭露,市售AI中转站暗藏资安风险。实测发现部分中转站会窃取凭证、钱包私钥或注入恶意程式码,沦为供应链攻击节点。
Claude Code原始码泄露吹哨人,揭露AI中转站资安风险
最近有一篇研究论文《你的代理人是我的》(Your Agent Is Mine)发表了,作者之一是日前最早揭露 Claude Code 原始码泄露事件的吹哨人 Chaofan Shou。
这篇论文首次针对大型语言模型(LLM)的第三方 API 路由器,也就是俗称的中转站,进行系统性的安全威胁研究,并揭露这类中转站可能成为供应链攻击的节点。
AI中转站是什么?
由于调用 LLM 会消耗大量 Token,产生高额的运算费用,AI 中转站能够通过快取重复的问题背景说明,协助客户大幅节省成本。
同时,中转站有自动分配模型的功能,能够根据用户问题的难易程度,动态切换不同计费标准与效能的模型,且能在单一模型服务器断线时自动切换至备用模型,确保整体服务连线稳定。
**中转站在中国特别夯,因为该国无法直接使用特定的海外 AI 产品,加上企业对于计费本地化的需求,因此中转站成为连接上游模型与下游开发者的重要桥梁。**包含开放式路由器(OpenRouter)与硅基流动(SiliconFlow)等平台,都属于这类服务的范畴。
然而,看似降低成本与技术门槛的中转站,背后却隐藏极大的资安风险。
图源:研究论文揭露AI中转站供应链攻击风险
AI中转站具备完全存取权限,成供应链攻击漏洞
论文指出,中转站运作于网络架构的应用层,对于传输过程中的 JSON 负载资料,具备完整的明文读取权限。
由于客户端与上游模型供应商之间,缺乏端到端的加密完整性验证,中转站可以轻易检视并篡改 API 密钥、系统提示词以及模型输出的工具调用参数。
研究团队指出,早在 2026 年 3 月,知名开源路由器 LiteLLM 就曾遭到相依性混淆攻击,导致攻击者能够将恶意程式码注入请求处理管道中,凸显了该环节的脆弱性。
实测数十个 AI 中转站具备恶意行为
研究团队实际于淘宝(Taobao)、闲鱼(Xianyu)与 Shopify 等平台购买 28 个付费中转站,并从公开社群收集 400 个免费中转站进行深度测试,实测结果发现,共有 1 个付费中转站与 8 个免费中转站会主动注入恶意程式码。
在免费中转站的测试样本中,有 17 个中转站会尝试使用研究人员布建的 AWS 诱饵凭证,更有 1 个中转站直接盗取研究人员以太坊钱包内的加密货币。
研究数据进一步显示,只要中转站重复使用外泄的上游凭证,或是将流量导向安全防护较弱的节点,即使原本看似正常的中转站也会被迫牵连进相同的攻击面。
研究团队在中毒测试中发现,这类被波及的节点总共处理了超过 21 亿颗 Token,并在 440 个会话中暴露出 99 个真实凭证,其中更有 401 个会话正处于完全自主运作状态,让攻击者能够直接且轻易地注入恶意负载,无须使用复杂的触发条件。
图源:研究论文实测超400个中转站,结果发现数十个 AI 中转站具备恶意行为
四大核心攻击手法曝光
论文将恶意中转站的攻击行为,归纳为两大核心类别与两种自适应规避变体。
为了躲避常规的资安检测,攻击者进一步演化出相依性目标注入手法,专门篡改软件套件安装指令中的套件名称,将合法套件替换为预先发布在公开注册表的同名或易混淆的恶意套件,藉此在目标系统中建立持久的供应链后门。
另一种则是条件式交付手法,恶意行为只在特定条件下触发,例如当请求次数超过 50 次,或侦测到系统处于完全自主运作状态(YOLO 模式)时才启动攻击,藉此躲避有限次数的安全审查测试。
三项可行的防御措施
面对 AI 中转战投毒的供应链攻击,论文提出三项可行的防御措施:
呼吁上游模型供应商建立密码学验证机制
虽然客户端的防御机制能够在现阶段降低部分风险,但无法从根本解决来源身份验证的漏洞。只要中转站的修改行为不触发客户端的异常警报,攻击者依然可以轻易改变程式执行的语意并进行破坏。
要彻底保障 AI 代理生态系统的安全,最终必须仰赖上游模型供应商提供支援密码学验证的回应机制。唯有将模型产生的结果,与客户端最终执行的指令进行严谨的加密绑定,才能确保端到端的数据完整性,全面防范中转站从中篡改资料的供应链风险。
延伸阅读:
OpenAI使用的Mixpanel出事!导致部分用户资料外泄,小心钓鱼邮件
一个复制粘贴错误,5千万美元蒸发!加密地址投毒诈骗再现,该如何防范