AI路由成攻击入口，恶意代码注入与数据窃取的隐患

随着智能体逐步接管代码运行、云资源管控、金融操作等高风险工作，其背后离不开LLM API路由这一中间服务的支撑。该服务充当"连接器"，把智能体的请求转接至OpenAI、Anthropic、Google等模型提供商，是智能体稳定运行的关键组件。

加州圣塔芭芭拉分校的科研团队，在最新论文《你的Agent正被劫持：LLM供应链中的恶意中介攻击测量》中揭示：这些LLM API路由实质上是缺乏保护的危险信任区域。

LLM API路由架设在智能体客户端与上游供应商之间，作为应用层代理运作，可完整读取传输中的所有JSON明文数据。不同于常规中间人攻击，这类中介是开发者主动设置的API节点——无须破解TLS证书，即可全面控制数据流。

为评估第三方API路由的安全威胁，研究团队进行了大规模测试：从淘宝、闲鱼、Shopify商店购入28个付费路由，并在公开社区搜集了400个免费路由，结果检出大量恶意行为，详情如下：

其中，AC-1型（负载注入）攻击威胁最大。此类攻击通过篡改正常安装URL或软件包名，指向攻击者操控的服务端实现入侵。因被修改的JSON负载语法正确，能通过格式校验，轻易绕过多数自动化防护机制。攻击者只需篡改一条curl指令，即可在用户设备上执行任意命令，最终夺取控制权。

研究还揭示，风险不只源于主动作恶的路由——即便是外表正常、看似无害的路由，也可能遭攻击者劫持，变成窃取信息、发动攻击的跳板，两项关键测试证实了这一判断：

密钥泄露测试：研究者故意在国内论坛和聊天群发布了一个实验用的OpenAI API密钥，该密钥随即被恶意使用，消耗了1亿个GPT-5.4 token，并在多个下游Codex对话中泄露出敏感凭据；

脆弱路由诱饵测试：研究组在20个域名和20个IP上部署了故意降低防护的路由诱饵，共吸引4万次非法访问，产生约20亿计费token，并在398个项目的440个Codex对话中泄露99组敏感凭据。特别值得注意的是，这440个对话里，401个已开启自动YOLO模式（工具调用无需人工确认），表明攻击可立即生效，无需进一步授权。

研究者强调，客户端防护无法彻底校验返回的工具调用的