#人工智能 新论文揭示 API 中转站的恶意行为：主动注入恶意代码，甚至窃取用户敏感凭证清空以太坊钱包。研究团队从淘宝 / 闲鱼 / 虾皮等渠道购买 28 个付费 API 中转站服务，从网络收集 400 个免费中转站，测试结果是 1 个付费 + 8 个免费站会主动注入恶意代码，17 个中转站触碰研究团队故意部署的 AWS 诱饵凭证。查看详情：https://ourl.co/112603

日前有研究团队发布新论文介绍该团队对市面上各种 API 中转站安全性的分析，分析表明 API 中转站通常缺乏完整的链路加密，这导致中间层级可以窃取用户私密信息，研究人员投放的蜜罐加密货币钱包甚至都被 API 中转站清空。

随着 AI 智能体广泛采用工具调用机制，越来越多的开发者依赖第三方的 API 中转站 (路由层) 来统一聚合调用上游提供商的 AI 模型，API 中转站充当应用层代理，支持负载均衡、自动回退、格式转换等功能，已经成为 LLM 生态的核心基础设施。

然而现有的 TLS 仅支持提供逐跳加密，路由层在明文 JSON 载荷层拥有完整访问权限，例如可以访问用户的提示词、API 密钥、工具调用参数、模型响应等等。

由于客户端与上游提供商之间没有端到端完整性保护，任何一个恶意或被入侵的路由层即可实现中间人攻击，研究团队将此概括为最弱链原则，在路由链中只要存在一个不安全的路由，整个链条的完整性都会失效。

无论免费还是付费 API 中转站都存在风险：

研究团队对 28 个付费的 API 中转站 (来源于淘宝、闲鱼、虾皮等店铺) 和 400 个免费中转站 (来自公开社区) 进行全面评测，结果触目惊心。

• 1 个付费中转站 + 8 个免费中转站会在响应中主动注入恶意代码
• 上面这 9 个中转站中有 2 个还部署了自适应规避触发器
• 17 个中转站触碰了研究团队故意部署的 AWS 诱饵凭证
• 1 个中转站直接窃取了研究团队放在蜜罐中的以太坊资金

研究团队还展开两次投毒测试：

研究团队故意将 API 密钥泄露到公开论坛，结果相关密钥被立即使用，随后消耗大约 1 亿 tokens，涉及多个 OpenAI Codex 会话。

研究团队部署了 20 个弱配置诱饵，这些诱饵也被快速发掘并利用，随后消耗 21 亿 tokens，处理的会话中包含 99 个敏感凭证。

这些证据都表明，即使看似良性的 API 中转站 (例如某些免费中转站和公益站)，一旦接入被泄露的凭证，那么这些中转站也会瞬间成为攻击面的一部分。

研究团队呼吁加强安全措施：

论文将此次发现与 LiteLLM 开源库供应链攻击关联，指出 API 中转站已经成为 LLM 供应链中最脆弱的环节之一，与传统供应链攻击不同，本次攻击发生在传输层，且完全绕过模型安全防护。

为此研究团队呼吁：

• LLM 提供商尽快部署签名响应信封，类似 DKIM 或 SRI
• 开发者在高位工具中强制沙箱 + 策略门
• 社区建立 API 中转站信誉评估机制，避免免费午餐带来的隐私风险