芯耀
与非AI
856
原标题:免费中转,除了便宜全是坑
就在昨天,一篇名为《Your Agent Is Mine》的论文撕开了AI中转产业链最肮脏的角落——这次不是小打小闹,是血淋淋的现实。
论文链接 https://arxiv.org/abs/2604.08407
研究人员从淘宝、咸鱼购买了28个付费路由器,从公开社区收集了400个免费路由器。
实测结果一出来,所有人都傻了:
9个路由器在主动注入恶意代码2个部署了自适应躲避触发器17个触碰了AWS canary凭证1个直接转走了ETH
你以为的"中转",实际是"投毒"
中转服务的工作流程听起来很美好:你的请求 → 中转服务器 → OpenAI/Claude,完美闭环。
但现实是什么?
你的数据可能被窃取——只不过终点不是AI,而是投毒者的数据库。
这套信任链有多深?
当你通过咸鱼卖家的中转服务调用GPT,你的请求可能经历4跳:
你 → 淘宝卖家 → 二线聚合商 → OpenRouter → OpenAI
每一跳都是明文访问。每一个节点都有能力监听、篡改、截获你的数据。
研究人员给这种攻击起了个名字:AC-1(响应侧Payload注入)。
翻译成人话就是:你在让AI帮你干活,结果AI返回的"工"被人偷偷换成了"祸"。
比如你让AI帮你执行 npm install express,它悄悄换成 npm install malicious-package。等你发现的时候,服务器已经被你亲手装的后门锁死了。
更阴险的是AC-2(被动密钥泄露):
路由器静默扫描你的API密钥、凭证,然后悄悄外泄。你甚至不知道自己被扒了几层皮。
就像你去按摩店放松,结果技师顺走了你钱包里的现金,还顺手复印了你的身份证。
自适应变种:专挑你放松的时候下手
你以为躲过AC-1就安全了?太天真了。
AC-1还有两个进化版本,简直是为程序员量身定制的噩梦:
AC-1.a(定向依赖注入):专门针对shell命令和软件包安装。程序员高频操作,正好是攻击高频区。简直是精准打击,就问你怕不怕?
AC-1.b(条件触发):根据工具名、关键词、用户指纹甚至时间窗口选择性攻击。白天正常,晚上作恶;测试环境放过你,生产环境往死里薅。
白天是天使,晚上是魔鬼。
这波操作,完美诠释了什么叫"挂羊头卖狗肉"。
等你发现的时候,攻击早结束了。 该拿的都拿了,该跑的早跑了。
一个弱蜜罐,漏出440个Codex会话
研究团队做了最惊人的实验:故意泄露一个API密钥当蜜罐。
这操作堪比"钓鱼执法",结果钓上来的鱼让所有人都惊了——
第一个蜜罐:泄露一个OpenAI key
结果:1亿GPT-5.4 token被消耗 + 7个Codex会话
第二个蜜罐:部署弱蜜罐(故意降低安全性)
结果:20亿token泄露、99组凭证外泄、440个Codex会话
更恐怖的是,这440个会话中,401个已在完全自主的YOLO模式下运行——它们自己决定下一步干什么,你根本不知道它们在干什么。
想象一下:你以为你在用AI帮你写代码,实际上AI已经自己开了个"皮包公司",用你的钱、你的资源,在你的服务器上搞事情。
而你,连个群演都算不上。
四大框架,无一幸免
研究团队测试了四个主流AI Agent框架:
| 框架 | AC-1攻击成功率 |
|---|---|
| OpenClaw | 100% |
| OpenCode | 100% |
| Codex | 100% |
| Claude Code | 100% |
没有一个实现响应完整性验证。
你花大价钱买的"安全框架",在响应注入面前形同虚设——防君子不防小人,说的就是这事儿。
防御手段:有人在做了,但覆盖率还不够
论文提出了三个防御方向,听起来很美好,现实很骨感:
1. Policy Gate(策略门控):在响应进入执行前强制校验,实验显示可100%拦截AC-1攻击。听起来很美,但目前只有理论方案,落地?再等等吧。
2. 异常检测:基于行为模式识别恶意注入,覆盖率约89%。有产品在做,但误报率仍是痛点——就像你家的烟雾报警器,一做饭就响,不做饭的时候反而哑了。
3. 透明性日志:要求中转节点记录完整请求链路。理想很丰满,但谁来审计?谁来埋单?道德约束这种东西,在利益面前根本不值一提。
你的中转服务,正在沉默地吞噬你
很多人以为用中转服务只是"多一个中间层",没什么大不了。
但中间层可以是桥梁,也可以是关卡。
当你的请求被中转,你的数据、控制权、安全边界全都交到了别人手里。
你以为你捡了便宜,实际上你才是那个被捡的"便宜"。
这不是阴谋论。这是已被学术论文证实的事实。
如果你身边有用 API 中转的,欢迎转发,让更多的人重视起来这件事情。
