你的AI请求,正在被“中间商赚差价”——大模型供应链投毒全景与破局之道

2026年4月，加州大学圣塔芭芭拉分校（UCSB）研究团队发布了一篇题为《Your Agent Is Mine: Measuring Malicious Intermediary Attacks on the LLM Supply Chain》的论文，用数据撕开了大模型供应链中一个长期被忽视的灰色地带——API中转站。

研究结果触目惊心：在研究团队测试的28个付费中转站和400个免费中转站中，

• 9个中转站（1个付费 + 8个免费）会在API响应中主动注入恶意代码

• 其中2个还部署了自适应规避触发器，能智能判断是否安全再下毒

• 7个中转站触碰了研究团队故意部署的AWS凭证

• 更有1个中转站直接窃取了研究团队放在ETH蜜罐中的资金

API中转站（也叫API代理/路由/中转服务）是一种介于AI应用客户端与上游大模型供应商之间的中间层服务。但这些中转站的本质是——它们能明文看到你与模型之间的每一次通信

UCSB的研究揭示了一个致命的信任边界问题：API中转站可以任意修改、伪造、留存工具调用、凭证、系统提示词等所有明文内容。

9个中转站（1个付费+8个免费）在返回的API响应中主动注入恶意代码。想象一下这个场景：

你的AI助手调用GPT-4来生成一段数据处理脚本，中转站截获了响应，在返回给你的代码中悄悄塞进了一行 requests.post。你以为拿到的是AI生成的代码，实际上已经种下了后门。

更令人不安的是，2个中转站部署了自适应规避触发器。这意味着它们不是无脑注入，而是会根据请求内容、调用频率，甚至来源IP来判断下毒时机，避免被安全人员发现。

研究团队故意在API请求中放置了AWS凭证，结果7个中转站在检测到凭证后立即触发了后续的未授权使用。

这意味着：当你通过中转站调用大模型时，如果你的代码或提示词中包含了任何凭证信息，这些信息几乎必定会被截获和利用。

最触目惊心的是，1个中转站直接窃取了研究团队故意部署的ETH蜜罐中的资金。

研究团队还进行了两次投毒测试：

• 将API密钥故意泄露到公开论坛，密钥被立即使用，消耗约1亿tokens

• 部署两类弱配置开源路由诱饵节点，包括claude-relay-service 20个域名、Sub2API/CLIProxyAPI 20个IP（均采用默认弱密码/无密码配置），被黑产快速发现并利用，消耗约20亿tokens

普通开发者或企事业单位使用中转站时，通常只关注能不能用和是否便宜，很少去审计中转站的行为。

当前大模型API调用普遍采用分段TLS连接，而非端到端加密。中转站在中间终止了客户端的TLS连接，再向上游建立新的连接，分段TLS连接导致中间人可完全解密通信。

API中转站处于一个监管真空地带。任何人都可以搭建一个中转站，鱼龙混杂。

1. 部署自有安全网关：将不可信中间人替换为可控安全代理

2. 实施内容安全检测：对模型返回的代码进行语义级安全检测，提升预警和防御能力

3. 实施数据安全策略：对模型输入输出的的内容进行隐私数据检测，避免凭证等信息泄露

4. 凭证隔离与管理：对使用者采用临时凭证，启用配额与令牌管控

5. 实施全链路日志审计：对输入输出内容进行全链路记录

6. 审慎使用第三方中转站：尤其是免费中转站

创宇大模型网关是基于知道创宇 15 年以上实战经验打造的“一站式提供敏捷、安全、可观测的统一大模型生产治理系统”。它在应用层与底层模型之间建立了标准化、可观测、安全可控的中间层，在企事业单位应用与大模型之间筑起一套集中统一的安全管理和体系化技术防护体系。

其核心价值可概括为以下功能模块：

• WAF：防跨站、防注入、防采集、防篡改

• 智能攻击防御：精准识别自动化扫描和恶意代码

• CC攻击防护：抵御针对模型的CC攻击

• 8大类敏感词库+价值观检测，违规内容拦截率≥95%

• 提示词注入防护：识别覆盖、重写、编码混淆绕过

• 模型越狱防护：角色扮演越狱、DAN框架攻击

• 安全代答机制：触发风险关键词时返回审核后的安全内容

• 敏感数据实时监测拦截：身份证号、手机号、银行账号等

• 文件监测：防止重要文件外泄

• 消费者配额管理：精细化消耗控制

• 令牌降级：异常时自动暂停

• 五大日志体系：对话、网络、内容、数据、访问日志

• 实时告警：模型异常、安全攻击、内容违规

• Syslog同步：支持日志外发审计

大模型网关产品试用、产品合作，请扫描下方二维码联系我们。