研究人员测试了428个LLM路由服务,发现其中9个正在主动向AI工具调用注入恶意代码——这些命令指示系统运行代码、安装软件或访问API。一个付费路由器和八个免费服务在模型生成指令之后但客户端系统执行之前修改了指令,保持有效格式以避免检测。攻击针对命令在没有人类批准的情况下运行的自主会话,一些路由器等待50多个请求后才发起攻击以逃避短期测试。
这不再是理论问题。3月份LiteLLM路由器的一次事件显示了依赖混淆攻击如何破坏整个请求管道,让攻击者能够访问流经受影响系统的每个API调用。路由层已成为关键攻击面,而大多数开发者将其视为可信基础设施。随着AI代理越来越多地自主处理敏感操作,这些中介服务可以悄无声息地改变执行内容,同时看起来正常运行。
凭据盗窃同样令人担忧。十七个免费路由器在暴露后主动使用了AWS金丝雀凭据,一个路由器耗尽了被监控的Ethereum私钥资金。当研究人员故意在中文论坛泄露OpenAI API密钥时,它在多个系统中产生了1亿token的使用量,展示了被破坏的密钥如何在生态系统中传播。与此同时,更广泛的AI工具生态显示出类似的信任假设——构建代理的开发者专注于LangChain等"大脑"框架,同时将集成层视为已解决的问题。
如果你正在通过第三方服务路由LLM请求,请立即审核你的供应商。实施请求签名,监控意外的工具调用修改,永远不要通过免费或未经审核的服务路由敏感操作。当攻击者可以悄无声息地重写你的AI命令时,统一路由API的便利性不值得承担风险。