⚠️ 研究发现:你的 AI Agent 可能已被中间人劫持来自加州大学圣巴巴拉分校的研究团队发布论文,首次系统性研究了 LLM API 中转服务的供应链攻击风险。所谓中转服务,就是用户为了更低价或更方便地使用 ChatGPT、Claude 等 AI,购买的第三方「AI 转发通道」,像是 OpenRouter 之类的服务。请求先经过中间商的服务器,再转发给真正的 AI 提供商。而这项研究就发现,这些中转节点都能以明文读取并修改所有传输内容。有意思的是,这篇论文的作者之一寿超璠,刚好就是前段时间揪出 Claude Code 50 万行源码泄露的开发者。论文《Your Agent Is Mine: Measuring Malicious Intermediary Attacks on the LLM Supply Chain》|https://arxiv.org/abs/2604.08407
研究者从淘宝、闲鱼和 Shopify 店铺购买了 28 个付费 API 中转,并收集了 400 个免费 AI 中转进行测试。结果发现:9 个中间路由器会主动篡改 AI 返回的工具调用指令,17 个在流量中获取并滥用了预置的 AWS 密钥,还有 1 个直接盗走了加密货币。攻击的原理并不复杂。我们在使用 Claude Code、Codex、OpenClaw 等工具时,请求往往不是直接发给 OpenAI 或 Anthropic,而是经过一个或多个中间路由器转发,即使用第三方的 API 服务。LLM 路由生态系统与污染传播。Agents(左)通过一个 LLM 路由,与上游模型提供方(右)交换请求和响应。每一个环节都存在风险,可以直接获得完整的明文访问。绿色箭头表示干净的数据流;红色箭头追踪了单个恶意路由器 𝑅4(由外部攻击者控制)如何在返回路径上污染回答。
每一跳都能以明文读取完整的请求内容,包括 API 密钥、系统提示词和工具调用参数。一个恶意路由器可以悄悄把 AI 返回的「执行这个安装脚本」替换成攻击者控制的地址,而 AI 模型本身对此毫不知情。更隐蔽的是「条件触发」攻击:研究者发现真实路由器中已有人部署了这类逻辑——等待用户发出 50 次请求后才开始注入,或者只对开启了 YOLO 自动执行模式、且项目语言为 Rust 或 Go 的会话下手,常规审查完全检测不到。在 28 个付费路由器和 400 个免费路由器中观察到恶意路由行为,包括代码注入、钱包泄露、凭证滥用等风险。
研究者还做了两个实验:把一个研究用 OpenAI 密钥泄露到微信群和中文论坛,这个密钥随后被消耗了 1 亿个 GPT-5.4 token。
而当部署了带弱密码的诱饵中转节点后,直接暴露了跨 440 个 Codex 会话的 99 份凭证,其中 401 个会话已开启自动执行模式。针对 OpenClaw、Codex、Claude Code 等四个主流框架的测试显示,没有任何一个实现了对路由器返回内容的完整性验证。研究者建议的根本解法,是由 OpenAI、Anthropic 等模型提供商在响应包上加入加密签名,让客户端能验证收到的工具调用是否真的来自上游模型。而对我们普通用户来说,论文作者文弘博,目前是 UCSB 的博士研究生,他告诉 APPSO,用户必须意识到这些经过多次节点跳跃的 LLM API 路由器,可能存在风险。因此在本地使用 OpenClaw、Claude Code 等可以自定义第三方 API 的 Agent 时,最好使用 sandbox 沙盒来运行;此外更不要轻易使用这些 Agent 的「无视风险」模式,即不要让 Agent 完全自动执行。当然,不需要额外配置 API 的托管型 Agent 也是一种选择。文弘博个人主页截图,本科毕业于清华大学,目前在 UCSB 攻读计算机的博士学位。
文弘博也向 APPSO 透露,后续他们还有相关的工作,来帮助用户更好地应对类似中转站被「劫持」的风险。