新论文揭示API中转站的恶意行为：注入恶意代码甚至窃取用户的ETH钱包密钥

日前有研究团队发布新论文介绍该团队对市面上各种 API 中转站安全性的分析，分析表明 API 中转站通常缺乏完整的链路加密，这导致中间层级可以窃取用户私密信息，研究人员投放的蜜罐加密货币钱包甚至都被 API 中转站清空。

随着 AI 智能体广泛采用工具调用机制，越来越多的开发者依赖第三方的 API 中转站 (路由层) 来统一聚合调用上游提供商的 AI 模型，API 中转站充当应用层代理，支持负载均衡、自动回退、格式转换等功能，已经成为 LLM 生态的核心基础设施。

然而现有的 TLS 仅支持提供逐跳加密，路由层在明文 JSON 载荷层拥有完整访问权限，例如可以访问用户的提示词、API 密钥、工具调用参数、模型响应等等。

由于客户端与上游提供商之间没有端到端完整性保护，任何一个恶意或被入侵的路由层即可实现中间人攻击，研究团队将此概括为最弱链原则，在路由链中只要存在一个不安全的路由，整个链条的完整性都会失效。

研究团队对 28 个付费的 API 中转站 (来源于淘宝、闲鱼、虾皮等店铺) 和 400 个免费中转站 (来自公开社区) 进行全面评测，结果触目惊心。

• 1 个付费中转站 + 8 个免费中转站会在响应中主动注入恶意代码

• 上面这 9 个中转站中有 2 个还部署了自适应规避触发器

• 17 个中转站触碰了研究团队故意部署的 AWS 诱饵凭证

• 1 个中转站直接窃取了研究团队放在蜜罐中的以太坊资金

研究团队故意将 API 密钥泄露到公开论坛，结果相关密钥被立即使用，随后消耗大约 1 亿 tokens，涉及多个 OpenAI Codex 会话。

研究团队部署了 20 个弱配置诱饵，这些诱饵也被快速发掘并利用，随后消耗 21 亿 tokens，处理的会话中包含 99 个敏感凭证。

这些证据都表明，即使看似良性的 API 中转站 (例如某些免费中转站和公益站)，一旦接入被泄露的凭证，那么这些中转站也会瞬间成为攻击面的一部分。

论文将此次发现与 LiteLLM 开源库供应链攻击关联，指出 API 中转站已经成为 LLM 供应链中最脆弱的环节之一，与传统供应链攻击不同，本次攻击发生在传输层，且完全绕过模型安全防护。

为此研究团队呼吁：

• LLM 提供商尽快部署签名响应信封，类似 DKIM 或 SRI

• 开发者在高位工具中强制沙箱 + 策略门

• 社区建立 API 中转站信誉评估机制，避免免费午餐带来的隐私风险

关注公众号：拾黑（shiheibook）了解更多

赞助链接：

关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/
四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/