登录体验完整功能(收藏、点赞、评论等) — 已累计有 12564 人加入

安全研究者Chaofan披露AI Agent中转服务致命攻击漏洞

详情页推荐

曾曝光Claude代码源码泄漏事件的安全研究者Chaofan于2026年4月联合发布论文《Your Agent Is Mine》,首次系统性证实第三方LLM路由器(俗称中转站)为AI Agent领域致命中间人攻击点,可窃取API密钥、篡改工具调用参数,目前使用OpenRouter、LiteLLM等中转服务的AI Agent开发者普遍面临无感知被攻击风险。

这份发布在网络安全顶级会议预印本平台的论文,上线仅24小时就获得了全球超3000名AI安全研究者的引用推荐,甚至包括OpenAI、Anthropic等大模型厂商的安全团队成员都转发预警,称这一漏洞补上了AI Agent安全领域此前完全被忽视的空白。

现代AI Agent的核心能力是调用外部工具完成复杂任务,为了降低多模型适配成本、提高调用稳定性,90%以上的商用AI Agent都会接入第三方LLM中转服务,而非直接对接大模型厂商API。这类中转服务本质是应用层的流量转发节点,对所有经过的请求报文拥有完全的明文访问权限,包括工具调用参数、用户API密钥、上下文隐私数据等核心信息,一旦中转节点被恶意控制,攻击者不需要突破开发者的自身服务防护就能实现攻击。

免责声明:本网站AI资讯内容仅供学习参考,不构成任何建议,不对信息准确性与完整性负责。