AI代理服务暗藏陷阱：428家实测，26家存恶意行为

【重要警示】当您或您的开发团队通过设置BASE_URL调用ChatGPT、Claude等AI服务时，工作流中的所有代码和密钥或许正遭受未知的"中间人"窥探、拷贝或恶意修改。这并非臆测，而是安全顶级会议论文针对428项服务实测后得出的结论。

对众多开发者来说，借助第三方代理服务访问大模型已成常态。然而，加州大学圣塔芭芭拉分校（UCSB）在CCS 2026发布的论文《Your Agent Is Mine》披露了一个惊人事实：您托付传输的所有信息，都可能在中转环节遭到窃取与篡改。

这并非少数"害群之马"的个案，而是昭示着为Web2.0构建的传统安全体系，在AI Agent时代已彻底瓦解。

正常使用AI服务的流程是客户端与官方服务器直接建立TLS加密通道。但配置代理服务后，流程变为：

客户端 → 代理节点 → 官方AI → 代理节点 → 客户端

代理服务器必须"解密"请求才能转发——此即TLS终止环节。您的密码、密钥、源码均以明文形式存在于代理服务器上。代理方既能查看每条指令，也可篡改每个返回结果。

这并非设计缺陷，而是此类架构的先天属性。

UCSB研究团队对428款LLM路由服务（28个付费版+400个免费版）进行测试，发现攻击方式已从"数据窃取"升级为"决策链劫持"。

【9款服务】主动实施投毒。当AI返回合法的pip install numpy指令时，它们将其替换为相似名称的恶意包。用户一旦执行，系统即被植入后门。

【17款服务】窃取凭证。研究团队预设的AWS"诱饵"密钥遭这些服务窃取并用于非授权调用。在AI工作流中，密钥频繁出现在请求里，失窃风险呈指数级增长。

【1款服务】直接清空ETH钱包。一旦检测到数字货币私钥，即刻发起转账操作。

【2款服务】具备自适应规避能力。前50次请求完全正常，待您放松警惕、部署至生产环境后才激活攻击。它们深谙AI的"测试-上线"流程，实施精准打击。

"反向投毒"实验释放出最危险信号：故意泄露一个API密钥后建立440个AI会话，其中【91%】已在全自动YOLO模式下运行。

这意味着一旦代理劫持AI响应，AI将自主执行删库、转空钱包等高危操作，无需人工确认。传统安全假设"人类是最后一道防线"，在新架构下此防线已被绕过。

数据与指令的界限日益模糊。过去AI返回文本，由您决定是否执行。如今AI生成可执行代码，复制粘贴即可运行。攻击者篡改的不再是"显示内容"，而是"即将执行的行为"。

用户与AI的决策界限发生转移。过去用户操作、AI辅助建议。现在AI决策、用户旁观——YOLO模式下连续执行数十个步骤，人类从"操作者"沦为"监督者"，监督效能趋近于零。

工具与系统的界限已被突破。过去浏览器沙盒提供隔离保护。现在AI通过Tool Use直接操控文件系统、数据库、云API。一个遭劫持的AI等同于拥有高级权限的内鬼。

受影响群体显而易见：因访问限制而被迫使用第三方代理的国内开发者。

海外用户可直连官方、享受端到端加密。国内用户则被迫经由第三方路由、明文传输，每个中转节点都是潜在攻击面。

我们并非为节省成本或提升性能而选择代理，而是为了最基本的"可连接性"。我们被迫将承载核心业务逻辑、内部数据和系统密钥的工作流，托付给透明度不足的中间层——承担了全部风险，换来的仅是基础连接能力。

论文数据证实，我们正集体行走在旧安全模型已然崩塌、新模型尚未建立的断层地带。

修补旧范式（为响应添加签名）仅是权宜之计，真正的解决之道需要架构层面的范式转移。

可验证AI响应机制。AI生成回复时附加密码学签名，客户端验证确保未被篡改。代理仅可转发，无法修改——即便窥探到明文也无济于事。

嵌入式策略执行引擎。非外挂防火墙，而是内嵌于AI工作流。每个动作实时匹配策略："此命令试图访问/etc/shadow，拒绝执行"。

用户持有授权凭证。改变将高权限API密钥直接交付AI的模式。敏感操作遵循"AI提议、用户授权"流程，通过硬件密钥或生物特征完成确认。

隐私中继技术。基于可信执行环境或零知识证明，路由节点完成转发但无法窥探内容，并提供行为合规的可验证证明。

第一层：意识提升与隔离措施（立即执行）

✅认知更新：默认所有要求修改BASE_URL的服务都能窥探您的全部数据

✅任务隔离：敏感操作（代码、数据、权限）立即迁移至本地模型（如Ollama）

✅密钥隔离：为测试创建"一次性"或低权限密钥，并设置消费告警

第二层：操作硬性约束（建立团队规范）

✅禁用"自动驾驶"：在Cursor、Claude Code等工具中，强制关闭YOLO/Auto模式

✅实施"人肉防火墙"：任何pip install、rm、sudo等命令，必须人工逐行核对

✅多节点验证：同一任务经不同代理各执行一遍，对比输出差异

第三层：供应链与团队治理

✅优先官方可信渠道：条件允许时，即便成本更高，也应优选官方或信誉良好的企业级服务

✅制定明文规范：在团队Wiki中明确AI工具使用红线（如：禁止通过代理处理生产数据）

✅审计现有项目：抽查代码库，检索BASE_URL修改记录，评估风险敞口

从HTTP到HTTPS普及耗时十年，因其损失是渐进的隐私泄露。但从"可被劫持的AI指令流"到"可验证的AI执行链"的升级，窗口期可能短得多——因其损失是即时的资产清零、系统瘫痪。

本地部署并非灵丹妙药。即便模型运行在您的设备上，生成的代码仍可删除文件，调用的工具仍可遭劫持。问题本质不在"运行位置"，而在"验证机制"——验证指令是否源自真实AI、是否遭篡改、是否符合用户意图、是否在权限范围内。

安全从来不是某家厂商或某个工具的单点问题，而是所有参与者共同构建的生态系统。UCSB论文以428个实测样本为我们敲响架构警钟。在行业确立新安全基石之前，更新认知、重构流程、审慎选择，是每位身处其中的构建者必须为自己筑起的第一道防线。

论文：《Your Agent Is Mine: Measuring Malicious Intermediary Attacks on the LLM Supply Chain》，UCSB，CCS 2026