Claude碼洩漏告密者揭示LLM供應鏈重大安全隱患：超20%免費路由被爆惡意注入

BlockBeats 消息，4 月 10 日，Claude 代码泄漏吹哨人 @Fried_rice 在社交媒体上发文表示，大语言模型（LLM）代理日益依賴第三方 API 路由器，將工具呼叫請求分派給多個上游提供商。這些路由器作為應用層代理運行，能夠以明文形式訪問每個傳輸中的 JSON 載荷，但目前沒有任何提供商在客戶端與上游模型之間強制執行加密完整性保護。

該論文對從淘寶、閑魚及 Shopify 獨立站購買的 28 個付費路由器，以及從公開社區收集的 400 個免費路由器進行測試，結果發現 1 個付費路由器和 8 個免費路由器正在主動注入惡意代碼，2 個部署了自適應規避觸發器，17 個觸碰了研究人員擁有的 AWS Canary 憑證，還有 1 個從研究人員持有的私鑰中盜取了 ETH。

兩項投毒研究進一步表明，看似無害的路由器同樣可被利用：一個洩露的 OpenAI 金鑰被用於生成 1 億個 GPT-5.4 token 及超過 7 個 Codex 會話；而配置較弱的誘餌則產生了 20 億個計費 token、跨越 440 個 Codex 會話的 99 份憑證，以及 401 個已在自主 YOLO 模式下運行的會話。

研究團隊構建了名為 Mine 的研究性代理，可對四種公開代理框架實施全部四類攻擊，並驗證了三種客戶端防禦手段：故障閉鎖策略門控、響應端異常篩查以及僅追加透明日誌記錄。

原文連結

發佈者對本文章的內容承擔全部責任
在投資加密貨幣前，請務必深入研究，理解相關風險，並謹慎評估自己的風險承受能力。不要因為短期高回報的誘惑而忽視潛在的重大損失。