新论文揭示 AI 中转站的恶意行为:主动注入恶意代码,窃取用户敏感凭证
- 内容介绍
- 文章标签
- 相关推荐
早上看到蓝点网前几天的文章,发现站内有一篇 【论文转发】“你的 Agent 是我的”:LLM 中转站供应链攻击 arXiv 2604.08407 ,但基本没人关注,所以整理后再发一贴,供大家了解、讨论。
“研究团队从淘宝 / 闲鱼 / 虾皮等渠道购买 28 个付费 API 中转站服务,从网络收集 400 个免费中转站,测试结果是 1 个付费 + 8 个免费站会主动注入恶意代码,17 个中转站触碰研究团队故意部署的 AWS 诱饵凭证。”
那么问题来了:大家使用中转站时,是否早已有这样的觉悟?
网友解答:--【壹】--:
这位佬连标题都没读完就下结论未免太武断了吧
--【贰】--:
看来还是得优先付费的,然后避免在正式环境使用,不能给ai发密钥之类的凭证。
--【叁】--:
生死看淡,不服就干,干就完了。反正是娱乐养龙虾
--【肆】--:
确实是水论文,估计都是让ai写的。。。。
--【伍】--:
所以我工作环境和娱乐环境是完全隔离的 怕的就是泄露
工作电脑只用官方
--【陆】--:
额,哪里说错了? 论文把这种攻击面分成四类。两类主攻击分别是:=AC-1:响应侧 payload 注入,也就是改写模型已经生成的 tool-call 参数;AC-2:秘密外泄,即被动收集经过 router 的 API key、私钥、环境变量、prompt 和文件内容。另有两类规避审计的变体:AC-1.a:依赖定向注入,把恶意内容伪装成依赖替换而不是明显的恶意 URL;AC-1.b:条件触发投递,只有在特定会话条件下才下发恶意 payload,例如达到某个请求次数、检测到特定工具名、特定语言项目,或者检测到 agent 处于自动批准的 “YOLO mode”。
早上看到蓝点网前几天的文章,发现站内有一篇 【论文转发】“你的 Agent 是我的”:LLM 中转站供应链攻击 arXiv 2604.08407 ,但基本没人关注,所以整理后再发一贴,供大家了解、讨论。
“研究团队从淘宝 / 闲鱼 / 虾皮等渠道购买 28 个付费 API 中转站服务,从网络收集 400 个免费中转站,测试结果是 1 个付费 + 8 个免费站会主动注入恶意代码,17 个中转站触碰研究团队故意部署的 AWS 诱饵凭证。”
那么问题来了:大家使用中转站时,是否早已有这样的觉悟?
网友解答:--【壹】--:
这位佬连标题都没读完就下结论未免太武断了吧
--【贰】--:
看来还是得优先付费的,然后避免在正式环境使用,不能给ai发密钥之类的凭证。
--【叁】--:
生死看淡,不服就干,干就完了。反正是娱乐养龙虾
--【肆】--:
确实是水论文,估计都是让ai写的。。。。
--【伍】--:
所以我工作环境和娱乐环境是完全隔离的 怕的就是泄露
工作电脑只用官方
--【陆】--:
额,哪里说错了? 论文把这种攻击面分成四类。两类主攻击分别是:=AC-1:响应侧 payload 注入,也就是改写模型已经生成的 tool-call 参数;AC-2:秘密外泄,即被动收集经过 router 的 API key、私钥、环境变量、prompt 和文件内容。另有两类规避审计的变体:AC-1.a:依赖定向注入,把恶意内容伪装成依赖替换而不是明显的恶意 URL;AC-1.b:条件触发投递,只有在特定会话条件下才下发恶意 payload,例如达到某个请求次数、检测到特定工具名、特定语言项目,或者检测到 agent 处于自动批准的 “YOLO mode”。