AI路由成攻击入口,恶意代码注入与数据窃取的隐患
随着智能体逐步接管代码运行、云资源管控、金融操作等高风险工作,其背后离不开LLM API路由这一中间服务的支撑。该服务充当"连接器",把智能体的请求转接至OpenAI、Anthropic、Google等模型提供商,是智能体稳定运行的关键组件。加州圣塔芭芭拉分校的科研团队,在最新论文《你的Agent正被劫持:LLM供应链中的恶意中介攻击测量》中揭示:这些LLM API路由实质上是缺乏保护的危险信任区域。LLM API路由架设在智能体客户端与上游供应商之间,作为应用层代理运作,可完整读取传输中的所有JSON明
AI代理服务暗藏陷阱:428家实测,26家存恶意行为
【重要警示】当您或您的开发团队通过设置BASE_URL调用ChatGPT、Claude等AI服务时,工作流中的所有代码和密钥或许正遭受未知的"中间人"窥探、拷贝或恶意修改。这并非臆测,而是安全顶级会议论文针对428项服务实测后得出的结论。对众多开发者来说,借助第三方代理服务访问大模型已成常态。然而,加州大学圣塔芭芭拉分校(UCSB)在CCS 2026发布的论文《Your Agent Is Mine》披露了一个惊人事实:您托付传输的所有信息,都可能在中转环节遭到窃取与篡改。这并非少数"害群之马"的个案,而是