在 AI Agent 生态系统中,第三方 API 路由正成为一个关键却长期被忽视的攻击面。攻击者可悄无声息地将路由武器化,劫持工具调用、清空加密货币钱包,并大规模窃取敏感凭证。
随着 AI Agent 越来越多地自动化执行高风险任务(如运行代码、管理云基础设施、处理金融交易),它们高度依赖名为 LLM API 路由的中介服务,将请求分发给 OpenAI、Anthropic 和 Google 等上游模型供应商。
危险的信任边界
加州大学圣塔芭芭拉分校研究人员在题为《你的 Agent 归我所有:测量 LLM 供应链中的恶意中介攻击》的最新研究中指出,这些路由构成了危险且缺乏防护的信任边界。
LLM API 路由位于 AI Agent 客户端与上游模型供应商之间,作为应用层代理运行,能够以明文形式完整访问每个传输中的 JSON 有效载荷。与传统中间人攻击(需伪造 TLS 证书)不同,这些中介完全由开发者自愿配置为 API 端点。
路由攻击链
路由会终止客户端 TLS 连接并重新建立与上游的连接,从而处于理想位置,可以读取、修改或伪造任何工具调用有效载荷,且难以被发现。目前主流 AI 供应商尚未强制实施客户端与上游模型之间的加密完整性验证,这意味着恶意路由可以轻松重写 Agent 的执行命令而不被察觉。
The Mercor breach exposed Silicon Valley's fragile AI supply chain
恶意代码注入实践
研究团队从淘宝、闲鱼和 Shopify 托管商店等平台采购了 28 个付费路由,并从公开社区收集了 400 个免费路由,结果令人震惊:
- 9 个路由在返回的工具调用中主动注入恶意代码(1 个付费、8 个免费);
- 17 个免费路由在拦截研究人员提供的 AWS 凭证后,触发后续未授权使用;
- 1 个路由直接清空了研究人员以太坊私钥中的 ETH;
- 2 个路由采用自适应规避策略,仅在 50 次请求后激活恶意载荷,或专门针对运行 Rust/Go 项目的“YOLO 模式”自主会话。
特别危险的是 AC-1 类载荷注入攻击:攻击者将良性安装程序 URL 或包名替换为自身控制的恶意端点。由于篡改后的 JSON 载荷语法仍完全有效,可轻松通过模式验证,绕过绝大多数自动化安全检查。一条 curl 命令的简单重写,即可在客户端机器上实现任意代码执行。
路由污染实验
威胁不仅来自主动恶意的路由,即使表面良性的路由也可能被污染。研究显示:
- 在中国论坛和聊天群组中故意泄露一个研究用 OpenAI API 密钥后,该密钥被滥用生成 1 亿个 GPT-5.4 token,并在多个下游 Codex 会话中暴露凭证;
- 通过在 20 个域名和 20 个 IP 地址部署故意设置薄弱的路由诱饵,吸引了 4 万次未授权访问尝试,累计产生约 20 亿计费 token,并在 398 个不同项目的 440 个 Codex 会话中暴露 99 组凭证。其中 401 个会话已处于自主“YOLO 模式”(工具执行无需逐条人工确认)。
TraderTraitor: Deep Dive | Wiz Blog
防御方案
研究团队指出,客户端防御虽无法完全验证工具调用的真实来源,但以下三项无需上游供应商配合即可快速部署的缓解措施,能显著降低风险:
- 故障关闭策略门:仅允许本地白名单命令,以 1.0% 误报率拦截所有 shell 重写和依赖注入攻击(若攻击者将载荷托管在白名单域名,仍存在绕过风险);
- 响应端异常筛查:基于良性工具调用模式训练的 Isolation Forest 模型,以 6.7% 误报预算标记 89% 的载荷注入尝试;
- 只追加透明日志:完整记录请求/响应元数据、TLS 指纹及响应哈希,支持事后取证分析(每条记录仅约 1.26 KB)。
研究团队强调,要从根本上解决来源验证问题,需要上游供应商引入响应信封签名机制——类似电子邮件 DKIM,通过加密方式将 Agent 执行的工具调用与模型实际输出绑定。在 OpenAI 等主要供应商落地此类响应完整性保护之前,使用第三方路由部署 AI Agent 的开发者,必须将每一个中介视为潜在对手,并实施严格的分层客户端防御。
Hardening AI Systems: Security, Robustness, and Safety for Generative & Agentic AI | by Adnan Masood, PhD. | Medium
只有将路由安全提升到与模型安全同等重视的层面,AI Agent 才能真正安全地承担高价值自动化任务。开发者们,是时候重新审视那些“透明”的 API 路由了。
)
)
)
