知名 Claude 代码源码泄漏事件吹哨人 Chaofan 近日再度发声,联合发布重磅论文《Your Agent Is Mine》,首次系统性揭露第三方 LLM 路由器(俗称“中转站”)已成为 AI Agent 领域最致命的中间人攻击点。这一发现让无数依赖 OpenRouter、LiteLLM 或各类低价中转服务的开发者瞬间警醒:你的 Agent 可能早已在不知不觉中被完全掌控。
核心原理:路由器即应用层 MITM
现代 AI Agent 几乎全部依赖第三方路由器转发请求。这些路由器对每一条 JSON 报文拥有明文完全访问权,包括 tool call 参数、API Key、私钥等敏感信息。攻击者只需部署一个恶意 Router,即可实现两大隐蔽杀招:
Payload Injection(AC-1):在上游模型返回结果后,偷偷篡改 tool call 参数(如将 curl 的 URL 指向攻击者服务器),从而实现任意代码执行(RCE)、持久化后门植入,甚至通过 typosquatting 长期潜伏。
Secret Exfiltration(AC-2):被动扫描流量,瞬间窃取 sk-、AWS 凭证、ETH 私钥等高价值信息,整个过程完全无声无息。
攻击支持条件触发(如请求数超过50次或进入“YOLO”模式),隐蔽性极强,普通用户和开发者难以察觉。
实测数据触目惊心
研究团队对28个付费路由器和400个免费路由器进行了全面测试,结果令人震惊:
9个路由器已主动注入恶意代码;
1个路由器直接 Drain 研究者 ETH 钱包,损失高达50万美元;
累计处理超过21亿 token 流量;
暴露99个真实凭证;
401个 Agent 会话处于完全自主“YOLO”状态,安全风险完全失控。
行业警示:中转站安全成最大盲区
认为,这一论文的意义在于第一次把“路由器安全”推到了 AI Agent 安全的最前台。过去开发者更多关注模型本身的安全、prompt 注入或工具权限,而忽略了路由这一“必经之路”。当路由器成为应用层 MITM 时,所有上游模型的强大能力都可能瞬间为攻击者所用。
无论是个人开发者还是企业级 Agent 系统,只要使用了第三方中转服务,就可能面临 Payload Injection 和 Secret Exfiltration 的双重威胁。论文同时指出,低价、免费甚至部分付费中转站的监管缺失,进一步放大了风险。
开发者立即行动建议
优先使用官方直连 API,避免不必要的中转;
对自建路由器进行严格代码审计和沙箱隔离;
启用端到端加密与请求签名验证;
定期轮换 API Key,并监控异常 tool call 行为。
Chaofan 此次爆料再次提醒整个行业:在 AI Agent 快速落地的同时,底层基础设施的安全性必须同步升级。《Your Agent Is Mine》论文的发布,或将成为 AI Agent 安全治理的重要转折点。 将持续跟踪该论文的后续讨论与官方回应,建议所有 Agent 开发者立即自查路由链路安全。