✍️ Gate 廣場「創作者認證激勵計劃」進行中!
我們歡迎優質創作者積極創作,申請認證
贏取豪華代幣獎池、Gate 精美周邊、流量曝光等超過 $10,000+ 豐厚獎勵!
立即報名 👉 https://www.gate.com/questionnaire/7159
📕 認證申請步驟:
1️⃣ App 首頁底部進入【廣場】 → 點擊右上角頭像進入個人主頁
2️⃣ 點擊頭像右下角【申請認證】進入認證頁面,等待審核
讓優質內容被更多人看到,一起共建創作者社區!
活動詳情:https://www.gate.com/announcements/article/47889
還在淘寶買AI中轉站?Claude Code原始碼洩露吹哨人:至少數十個被投毒
Claude Code原始碼洩漏事件吹哨人最新研究揭露,市售AI中轉站暗藏資安風險。實測發現部分中轉站會竊取憑證、錢包私鑰或注入惡意程式碼,淪為供應鏈攻擊節點。
Claude Code原始碼洩露吹哨人,揭露AI中轉站資安風險
最近有一篇研究論文《你的代理人是我的》(Your Agent Is Mine)發表了,作者之一是日前最早揭露 Claude Code 原始碼洩露事件的吹哨人 Chaofan Shou。
這篇論文首次針對大型語言模型(LLM)的第三方 API 路由器,也就是俗稱的中轉站,進行系統性的安全威脅研究,並揭露這類中轉站可能成為供應鏈攻擊的節點。
AI中轉站是什麼?
由於調用 LLM 會消耗大量 Token,產生高額的運算費用,AI 中轉站能夠透過快取重複的問題背景說明,協助客戶大幅節省成本。
同時,中轉站有自動分配模型的功能,能夠根據用戶問題的難易程度,動態切換不同計費標準與效能的模型,且能在單一模型伺服器斷線時自動切換至備用模型,確保整體服務連線穩定。
**中轉站在中國特別夯,因為該國無法直接使用特定的海外 AI 產品,加上企業對於計費本地化的需求,因此中轉站成為連接上游模型與下游開發者的重要橋樑。**包含開放式路由器(OpenRouter)與矽基流動(SiliconFlow)等平台,都屬於這類服務的範疇。
然而,看似降低成本與技術門檻的中轉站,背後卻隱藏極大的資安風險。
圖源:研究論文論文揭露AI中轉站供應鏈攻擊風險
AI中轉站具備完全存取權限,成供應鏈攻擊漏洞
論文指出,中轉站運作於網路架構的應用層,對於傳輸過程中的 JSON 負載資料,具備完整的明文讀取權限。
由於客戶端與上游模型供應商之間,缺乏端到端的加密完整性驗證,中轉站可以輕易檢視並竄改 API 金鑰、系統提示詞以及模型輸出的工具調用參數。
研究團隊指出,早在 2026 年 3 月,知名開源路由器 LiteLLM 就曾遭到相依性混淆攻擊,導致攻擊者能夠將惡意程式碼注入請求處理管道中,凸顯了該環節的脆弱性。
實測數十個 AI 中轉站具備惡意行為
研究團隊實際於淘寶(Taobao)、閒魚(Xianyu)與 Shopify 等平台購買 28 個付費中轉站,並從公開社群收集 400 個免費中轉站進行深度測試,實測結果發現,共有 1 個付費中轉站與 8 個免費中轉站會主動注入惡意程式碼。
在免費中轉站的測試樣本中,有 17 個中轉站會嘗試使用研究人員佈建的 AWS 誘餌憑證,更有 1 個中轉站直接盜取研究人員以太坊錢包內的加密貨幣。
研究數據進一步顯示,只要中轉站重複使用外洩的上游憑證,或是將流量導向安全防護較弱的節點,即使原本看似正常的中轉站也會被迫牽連進相同的攻擊面。
研究團隊在中毒測試中發現,這類被波及的節點總共處理了超過 21 億顆 Token,並在 440 個會話中暴露出 99 個真實憑證,其中更有 401 個會話正處於完全自主運作狀態,讓攻擊者能夠直接且輕易地注入惡意負載,無須使用複雜的觸發條件。
圖源:研究論文論文實測超400個中轉站,結果發現數十個 AI 中轉站具備惡意行為
四大核心攻擊手法曝光
論文把惡意中轉站的攻擊行為,歸納為兩大核心類別與兩種自適應規避變體。
為了躲避常規的資安檢測,攻擊者進一步演化出相依性目標注入手法,專門竄改軟體套件安裝指令中的套件名稱,將合法套件替換為預先發布在公開註冊表的同名或易混淆的惡意套件,藉此在目標系統中建立持久的供應鏈後門。
另一種則是條件式交付手法,惡意行為只在特定條件下觸發,例如當請求次數超過 50 次,或偵測到系統處於完全自主運作狀態(YOLO 模式)時才啟動攻擊,藉此躲避有限次數的安全審查測試。
三項可行的防禦措施
面對 AI 中轉戰投毒的供應鏈攻擊,論文提出三項可行的防禦措施:
呼籲上游模型供應商建立密碼學驗證機制
雖然客戶端的防禦機制能夠在現階段降低部分風險,但無法從根本解決來源身分驗證的漏洞。只要中轉站的修改行為不觸發客戶端的異常警報,攻擊者依然可以輕易改變程式執行的語意並進行破壞。
要徹底保障 AI 代理生態系統的安全,最終必須仰賴上游模型供應商提供支援密碼學驗證的回應機制。唯有將模型產生的結果,與客戶端最終執行的指令進行嚴謹的加密綁定,才能確保端到端的資料完整性,全面防範中轉站從中竄改資料的供應鏈風險。
延伸閱讀:
OpenAI使用的Mixpanel出事!導致部分用戶個資外洩,小心釣魚郵件
一個複製貼上錯誤,5千萬鎂蒸發!加密地址投毒詐騙再現,該如何防範