夜雨聆风【核心提示】如果你或你的团队正在通过配置BASE_URL来使用ChatGPT、Claude等AI进行开发,那么你工作流中的每一行代码、每一个密钥,都可能正在被一个你完全不了解的"中间人"审视、复制甚至篡改。这不是猜测,是安全顶会论文对428个服务的实测结果。
对于许多开发者而言,通过配置BASE_URL来使用第三方中转服务访问大模型,已是日常工作流的一部分。然而,加州大学圣塔芭芭拉分校(UCSB)在CCS 2026发表的最新论文《Your Agent Is Mine》揭示了一个严峻事实:你委托转发的一切,都可能被中间环节篡改与窃取。
这不仅是几个"坏苹果"的问题。它标志着为Web2.0设计的旧安全模型,在AI Agent时代已全面失效。
一、中转站如何"看见"你的一切
当你使用AI服务时,正常流程是你直接与官方服务器通信,全程TLS加密。但当你修改BASE_URL使用中转服务时,流程变成:
你 → 中转服务器 → 官方AI → 中转服务器 → 你
中转服务器必须"拆开"你的请求才能转发——这被称为TLS终止。你的密码、密钥、代码,以明文躺在中转服务器上。中转站能看到你发的每一条指令,也能修改AI返回的每一个响应。
这不是漏洞,是这种架构的固有特性。
二、实测:428个路由,黑产已渗透
UCSB团队测试了428个LLM路由服务(28个付费+400个免费),发现攻击已超越传统"窃取数据",升级为"劫持决策链"。
【9个服务】会主动投毒。当AI返回pip install numpy的合法指令时,它们篡换成名称相近的恶意包。用户亲手执行,系统被植入后门。
【17个服务】在偷凭证。研究团队预设的AWS"蜜罐"密钥被这些服务触碰并用于未授权调用。在AI工作流中,密钥会常态化出现在请求中,失窃风险指数级增加。
【1个服务】直接转空ETH钱包。发现数字货币私钥后,立即发起转账。
【2个服务】具备自适应逃避能力。前50次请求完全正常,等你放松警惕、上线生产环境后才激活攻击。它们理解AI的"测试-部署"工作流,进行精准打击。
最危险的信号来自"反向投毒"实验:故意泄露一个API密钥,建立440个AI会话,其中【91%】已在全自动YOLO模式下运行。
这意味着一旦路由劫持AI响应,AI会自主执行删除数据库、转空钱包等操作,无需人类确认。传统安全假设"人类是最后防线",新架构下这条防线被绕过。
三、三个正在消失的边界
数据与指令的边界。以前AI返回文本,你决定执不执行。现在AI返回可执行代码,你复制粘贴就运行。攻击者篡改的不是"显示内容",是"即将发生的行为"。
用户与AI的决策边界。以前用户操作、AI建议。现在AI决策、用户旁观——YOLO模式下连续执行数十步,人类从"操作者"退位为"监督者",监督有效性趋近于零。
工具与系统的边界。以前浏览器沙盒隔离。现在AI通过Tool Use直接操作文件系统、数据库、云API。一个被劫持的AI等于拥有高级权限的内鬼。
四、国内困境:谁的风险最大?
答案很明确:因访问限制而被迫使用第三方中转的国内开发者。
海外用户可官方直连、端到端加密。国内用户被迫经第三方路由、明文中转,每一跳都是攻击面。
我们并非为了成本或性能选择中转,而是为了基础的"可用性"。我们被迫将包含核心业务逻辑、内部数据和系统密钥的工作流,交付给透明度存疑的中间层——承担了全部风险,所求的却只是最基础的连接能力。
论文数据表明,我们正集体行走在旧安全模型已然崩塌、新模型尚未建立的断层之上。
五、新架构需要什么?
修补旧范式(给响应加签名)是止痛药,真正的解决方案需要架构范式的迁移。
可验证AI响应。AI生成回复时附带密码学签名,用户端验证未被篡改。路由只能转发,无法篡改——即使看到明文也无效。
嵌入式策略执行。不是外挂防火墙,而是内嵌于AI工作流。每个动作实时策略匹配:"此命令试图访问/etc/shadow,拒绝执行"。
用户持有授权。改变将高权限API密钥直接交给AI的模式。敏感操作遵循"AI提议、用户授权"流程,通过硬件密钥或生物特征完成。
隐私中继技术。基于可信执行环境或零知识证明,路由节点完成转发但无法窥探内容,并提供行为合规的可验证证明。
六、🚨 立即自查:你的AI工作流安全吗?
第一层:意识与隔离(今天就能做)
✅认知刷新:默认所有要求你改BASE_URL的服务都能看到你的一切
✅任务分离:敏感操作(代码、数据、权限)立刻迁移到本地模型(如Ollama)
✅密钥隔离:为测试创建"一次性"或低权限密钥,并设置消费警报
第二层:操作硬约束(建立团队规范)
✅关闭"自动驾驶":在Cursor、Claude Code等工具中,强制关闭YOLO/Auto模式
✅执行"人肉防火墙":任何pip install、rm、sudo等命令,必须人工逐行核对
✅多节点验证:同一任务用不同中转跑一遍,对比输出差异
第三层:供应链与团队管理
✅优先官方或可信渠道:在条件允许时,即使成本更高,也应优先选择官方或信誉良好的企业级服务
✅制定明文规范:在团队Wiki中明确AI工具的使用红线(如:禁止通过中转处理生产数据)
✅审计现有项目:抽查代码库,搜索BASE_URL的修改记录,评估风险
结语
从HTTP到HTTPS的普及用了十年,因为损失是渐进的隐私泄露。但从"可被劫持的AI指令流"到"可验证的AI执行链"的升级,窗口期可能短得多——因为损失是即时的资产归零、系统瘫痪。
本地部署不是解药。即使模型跑在你电脑上,生成的代码照样可以删你文件,调用的工具照样可以被劫持。问题的本质不是"在哪运行",是"如何验证"——验证这个指令来自真实的AI、未被篡改、符合用户意图、在权限边界内。
安全从来不是某个厂商或某个工具的单点问题,而是所有参与者共同构建的生态系统。UCSB的论文用428个实测样本,为我们敲响了架构警钟。在行业建立起新的安全基石之前,调整认知、重构流程、审慎选择,是我们每一位身处其中的构建者,必须为自己筑起的第一道防线。
论文:《Your Agent Is Mine: Measuring Malicious Intermediary Attacks on the LLM Supply Chain》,UCSB,CCS 2026
