研究人員測試了428個LLM路由服務,發現其中9個正在主動向AI工具呼叫注入惡意程式碼——這些指令告訴系統運行程式碼、安裝軟體或存取API。一個付費路由器和八個免費服務在模型產生指令之後但客戶端系統執行之前修改了指令,保持有效格式以避免偵測。攻擊針對指令在沒有人類批准的情況下運行的自主會話,一些路由器等待50多個請求後才發起攻擊以逃避短期測試。
這不再是理論問題。3月份LiteLLM路由器的一次事件顯示了相依性混淆攻擊如何破壞整個請求管道,讓攻擊者能夠存取流經受影響系統的每個API呼叫。路由層已成為關鍵攻擊面,而大多數開發者將其視為可信基礎設施。隨著AI代理越來越多地自主處理敏感操作,這些中介服務可以悄無聲息地改變執行內容,同時看起來正常運行。
憑證盜竊同樣令人擔憂。十七個免費路由器在暴露後主動使用了AWS金絲雀憑證,一個路由器耗盡了被監控的Ethereum私鑰資金。當研究人員故意在中文論壇洩露OpenAI API金鑰時,它在多個系統中產生了1億token的使用量,展示了被破壞的金鑰如何在生態系統中傳播。與此同時,更廣泛的AI工具生態顯示出類似的信任假設——建構代理的開發者專注於LangChain等「大腦」框架,同時將整合層視為已解決的問題。
如果你正在透過第三方服務路由LLM請求,請立即審核你的供應商。實施請求簽名,監控意外的工具呼叫修改,永遠不要透過免費或未經審核的服務路由敏感操作。當攻擊者可以悄無聲息地重寫你的AI指令時,統一路由API的便利性不值得承擔風險。