安全研究者Chaofan披露AI Agent中转服务致命攻击漏洞

曾曝光Claude代码源码泄漏事件的安全研究者Chaofan于2026年4月联合发布论文《Your Agent Is Mine》，首次系统性证实第三方LLM路由器（俗称中转站）为AI Agent领域致命中间人攻击点，可窃取API密钥、篡改工具调用参数，目前使用OpenRouter、LiteLLM等中转服务的AI Agent开发者普遍面临无感知被攻击风险。

这份发布在网络安全顶级会议预印本平台的论文，上线仅24小时就获得了全球超3000名AI安全研究者的引用推荐，甚至包括OpenAI、Anthropic等大模型厂商的安全团队成员都转发预警，称这一漏洞补上了AI Agent安全领域此前完全被忽视的空白。

现代AI Agent的核心能力是调用外部工具完成复杂任务，为了降低多模型适配成本、提高调用稳定性，90%以上的商用AI Agent都会接入第三方LLM中转服务，而非直接对接大模型厂商API。这类中转服务本质是应用层的流量转发节点，对所有经过的请求报文拥有完全的明文访问权限，包括工具调用参数、用户API密钥、上下文隐私数据等核心信息，一旦中转节点被恶意控制，攻击者不需要突破开发者的自身服务防护就能实现攻击。

Chaofan团队在论文中演示了两种典型攻击路径：第一种是**Payload注入攻击**，攻击者可以在大模型返回结果后，偷偷篡改工具调用参数，比如将用户发起的“向供应商转账100元”请求中的金额篡改为10000元，而开发者因为默认信任中转节点返回的结果，几乎不会做二次校验；第二种是**敏感信息窃取**，攻击者可以直接截留报文中的API密钥、私钥等信息，直接接管开发者的大模型调用权限，甚至窃取用户的隐私对话数据。