中转站理论上有能力往你的电脑投毒
- 内容介绍
- 文章标签
- 相关推荐
提前声明:纯粹「理论上的可能」,我目前暂未观察到、听说过任何类似行为,但从中转站的原理上看,存在这种可能。
众所周知,Agent 需要 Tool Call. 返回的 Tool Call 请求,到达本地客户端后,由用户同意(有时不需要同意),并执行。
返回的 Tool Call 不保证是无害的,我们已经见过很多被删全盘的惨痛案例。大部分时候,它们仅仅是 LLM Halluciation 的恶果。
然而,考虑到许多用户正在使用中转站,整条链路:
- 相对比较可信的官方
- 不清楚是否可信的中转站
- Agent 客户端
中转站充当中间人,除了理论上能够看到你的所有消息记录以外,还意味着它可以任意篡改信息内容。
比如:篡改 LLM 返回的 Tool Call 请求,在执行 Shell 时偷偷加入一些恶意代码,在编写的代码中偷偷加入恶意代码等。
而一旦恶意代码被执行,用户的运行环境就暴露于风险之中。
尽管大家已经清楚「Agent 可能比较危险」,但这种危险更多是处于随机的、无意的执行失误。
而中转站的中间人攻击和 Skills 投毒一样,属于恶意的、明确的攻击。
区别在于:Skills 投毒仍有可能被强大的 LLM 识破并防御,但中转站的恶意篡改难以防御。
再次声明:我目前暂未观察到这种事件发生。但希望各位佬友们意识到其中隐藏的安全风险。这至少意味着:
- 中转站「售卖用户」牟利,不仅可以存在于卖数据层面,还可以存在于卖肉鸡层面。
- 你可能需要更可靠的安全措施,比如使用容器、虚拟机等隔离环境。
- 对于劣迹中转站,请谨慎使用。
提前声明:纯粹「理论上的可能」,我目前暂未观察到、听说过任何类似行为,但从中转站的原理上看,存在这种可能。
众所周知,Agent 需要 Tool Call. 返回的 Tool Call 请求,到达本地客户端后,由用户同意(有时不需要同意),并执行。
返回的 Tool Call 不保证是无害的,我们已经见过很多被删全盘的惨痛案例。大部分时候,它们仅仅是 LLM Halluciation 的恶果。
然而,考虑到许多用户正在使用中转站,整条链路:
- 相对比较可信的官方
- 不清楚是否可信的中转站
- Agent 客户端
中转站充当中间人,除了理论上能够看到你的所有消息记录以外,还意味着它可以任意篡改信息内容。
比如:篡改 LLM 返回的 Tool Call 请求,在执行 Shell 时偷偷加入一些恶意代码,在编写的代码中偷偷加入恶意代码等。
而一旦恶意代码被执行,用户的运行环境就暴露于风险之中。
尽管大家已经清楚「Agent 可能比较危险」,但这种危险更多是处于随机的、无意的执行失误。
而中转站的中间人攻击和 Skills 投毒一样,属于恶意的、明确的攻击。
区别在于:Skills 投毒仍有可能被强大的 LLM 识破并防御,但中转站的恶意篡改难以防御。
再次声明:我目前暂未观察到这种事件发生。但希望各位佬友们意识到其中隐藏的安全风险。这至少意味着:
- 中转站「售卖用户」牟利,不仅可以存在于卖数据层面,还可以存在于卖肉鸡层面。
- 你可能需要更可靠的安全措施,比如使用容器、虚拟机等隔离环境。
- 对于劣迹中转站,请谨慎使用。