新论文揭示API中转站的恶意行为:注入恶意代码甚至窃取用户的ETH钱包密钥
日前有研究团队发布新论文介绍该团队对市面上各种 API 中转站安全性的分析,分析表明 API 中转站通常缺乏完整的链路加密,这导致中间层级可以窃取用户私密信息,研究人员投放的蜜罐加密货币钱包甚至都被 API 中转站清空。
随着 AI 智能体广泛采用工具调用机制,越来越多的开发者依赖第三方的 API 中转站 (路由层) 来统一聚合调用上游提供商的 AI 模型,API 中转站充当应用层代理,支持负载均衡、自动回退、格式转换等功能,已经成为 LLM 生态的核心基础设施。
然而现有的 TLS 仅支持提供逐跳加密,路由层在明文 JSON 载荷层拥有完整访问权限,例如可以访问用户的提示词、API 密钥、工具调用参数、模型响应等等。
由于客户端与上游提供商之间没有端到端完整性保护,任何一个恶意或被入侵的路由层即可实现中间人攻击,研究团队将此概括为最弱链原则,在路由链中只要存在一个不安全的路由,整个链条的完整性都会失效。
无论免费还是付费 API 中转站都存在风险:
研究团队对 28 个付费的 API 中转站 (来源于淘宝、闲鱼、虾皮等店铺) 和 400 个免费中转站 (来自公开社区) 进行全面评测,结果触目惊心。
1 个付费中转站 + 8 个免费中转站会在响应中主动注入恶意代码
上面这 9 个中转站中有 2 个还部署了自适应规避触发器
17 个中转站触碰了研究团队故意部署的 AWS 诱饵凭证
1 个中转站直接窃取了研究团队放在蜜罐中的以太坊资金
研究团队还展开两次投毒测试:
研究团队故意将 API 密钥泄露到公开论坛,结果相关密钥被立即使用,随后消耗大约 1 亿 tokens,涉及多个 OpenAI Codex 会话。
研究团队部署了 20 个弱配置诱饵,这些诱饵也被快速发掘并利用,随后消耗 21 亿 tokens,处理的会话中包含 99 个敏感凭证。
这些证据都表明,即使看似良性的 API 中转站 (例如某些免费中转站和公益站),一旦接入被泄露的凭证,那么这些中转站也会瞬间成为攻击面的一部分。
研究团队呼吁加强安全措施:
论文将此次发现与 LiteLLM 开源库供应链攻击关联,指出 API 中转站已经成为 LLM 供应链中最脆弱的环节之一,与传统供应链攻击不同,本次攻击发生在传输层,且完全绕过模型安全防护。
为此研究团队呼吁:
LLM 提供商尽快部署签名响应信封,类似 DKIM 或 SRI
开发者在高位工具中强制沙箱 + 策略门
社区建立 API 中转站信誉评估机制,避免免费午餐带来的隐私风险
关注公众号:拾黑(shiheibook)了解更多
友情链接:
下软件就上简单下载站:https://www.jdsec.com/
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
池小苡
关注网络尖刀微信公众号