新论文揭示 AI 中转站的恶意行为：主动注入恶意代码，窃取用户敏感凭证

问题描述：

早上看到蓝点网前几天的文章，发现站内有一篇 【论文转发】“你的 Agent 是我的”：LLM 中转站供应链攻击 arXiv 2604.08407 ，但基本没人关注，所以整理后再发一贴，供大家了解、讨论。

“研究团队从淘宝 / 闲鱼 / 虾皮等渠道购买 28 个付费 API 中转站服务，从网络收集 400 个免费中转站，测试结果是 1 个付费 + 8 个免费站会主动注入恶意代码，17 个中转站触碰研究团队故意部署的 AWS 诱饵凭证。”

那么问题来了：大家使用中转站时，是否早已有这样的觉悟？

网友解答：

---

--【壹】--：

这位佬连标题都没读完就下结论未免太武断了吧

---

--【贰】--：

看来还是得优先付费的，然后避免在正式环境使用，不能给ai发密钥之类的凭证。

---

--【叁】--：

生死看淡，不服就干，干就完了。反正是娱乐养龙虾

---

--【肆】--：

确实是水论文，估计都是让ai写的。。。。

---

--【伍】--：

所以我工作环境和娱乐环境是完全隔离的 怕的就是泄露
工作电脑只用官方

---

--【陆】--：

额，哪里说错了？ 论文把这种攻击面分成四类。两类主攻击分别是：=AC-1：响应侧 payload 注入，也就是改写模型已经生成的 tool-call 参数；AC-2：秘密外泄，即被动收集经过 router 的 API key、私钥、环境变量、prompt 和文件内容。另有两类规避审计的变体：AC-1.a：依赖定向注入，把恶意内容伪装成依赖替换而不是明显的恶意 URL；AC-1.b：条件触发投递，只有在特定会话条件下才下发恶意 payload，例如达到某个请求次数、检测到特定工具名、特定语言项目，或者检测到 agent 处于自动批准的 “YOLO mode”。这套分类的重点在于说明：攻击并不发生在模型推理内部，而是发生在 router 对工具层 JSON 的读写权限上。

说的都是些大家都直到的，经过中转站会暴露使用，而且会被中间人攻击……这种文章没有什么价值

---

--【柒】--：

之前跟大家提过了(

中转站理论上有能力往你的电脑投毒 搞七捻三

提前声明：纯粹「理论上的可能」，我目前暂未观察到、听说过任何类似行为，但从中转站的原理上看，存在这种可能。 众所周知，Agent 需要 Tool Call. 返回的 Tool Call 请求，到达本地客户端后，由用户同意(有时不需要同意)，并执行。 返回的 Tool Call 不保证是无害的，我们已经见过很多被删全盘的惨痛案例。大部分时候，它们仅仅是 LLM Halluciation 的恶果。 …

---

--【捌】--：

偷取以太坊我真绷不住了 ，只敢用站内的了（虽然我没有以太坊）

---

--【玖】--：

正经管渠我也不敢让它在虚拟环境嗯跑啊，读写执行范围受控就没啥

---

--【拾】--：

纯纯的水文，用了中转站，还把key传上去，泄露不是一定的吗

---

--【拾壹】--：

不担心，版上的中转站应该不会搞这种骚操作