黑客通过易受攻击的中继站劫持AI代理

AI通信中的隐形威胁

曾因曝光Claude源代码而闻名的安全研究员Chaofan揭露了一个影响全球AI代理的关键漏洞。突破性论文《你的代理归我了》揭示，被称为"中继站"的第三方语言模型路由器已成为AI安全中最薄弱的环节。

攻击者如何利用中继站

现代AI系统越来越依赖这些路由服务来处理请求。危险何在？这些中间人可以完全访问所有明文通信——包括敏感工具参数、API密钥，甚至加密货币凭证。

Chaofan的团队识别出两种主要攻击方法：

1. 有效载荷注入(AC-1)： 在AI模型响应后，攻击者可以秘密修改工具指令。想象一下你让AI助手预订航班，结果请求被重定向到黑客的服务器。这种技术可以实现从简单的数据窃取到完整的系统接管。

2. 秘密窃取(AC-2)： 一些路由器会被动扫描流量以获取有价值的信息。你的API密钥、云服务凭证或加密货币钱包可能被复制而没有任何入侵迹象。

这些攻击特别危险之处在于它们的条件触发特性。黑客可以编程让攻击仅在达到特定阈值（如50次请求）或检测到"YOLO"模式等特定命令时激活。

令人震惊的测试结果

研究团队检查了28个商业路由器和400个免费服务，发现令人担忧的结果：

• 9台路由器主动注入恶意代码
• 1起攻击清空了一个测试钱包中的500万美元以太坊
• 超过21亿次令牌请求通过易受攻击的系统处理
• 401个AI代理会话在完全被攻破的安全状态下运行

"这些不是理论风险，"Chaofan指出，"我们在实际环境中看到了积极的利用。"

该漏洞为何重要

大多数AI安全工作集中于保护模型免受提示注入或管理工具权限。很少有人考虑路由层——然而所有通信都必须经过这里。一旦被攻破，即使是最安全的AI系统也会变得脆弱。

问题在不受监管的免费和低成本中继服务中更为严重。没有适当的监督，这些成为攻击者进行隐蔽操作的理想平台。

保护你的AI系统

对于使用AI代理的开发者和公司，研究人员建议：

• 直接连接： 尽可能使用官方API端点
• 全面加密： 实施端到端加密和请求签名
• 密切监控： 留意异常工具行为并定期轮换API密钥
• 沙盒路由器： 隔离必须使用的任何中继服务

随着AI应用的加速，这一发现敲响了警钟。实现AI通信的基础设施可能正是其最大的漏洞。

关键要点

• 第三方AI路由器暴露关键安全漏洞
• 攻击者可以注入恶意代码或秘密窃取敏感数据
• 测试揭示了包括500万美元加密货币盗窃在内的活跃攻击
• 免费和低成本中继服务带来特殊风险
• 开发者应优先考虑直接连接和增强的安全措施