快捷搜索

恶意AI代理路由器的威胁

加州大学的研究人员发现了一种新的基础设施攻击方式，能够窃取加密钱包并向开发者环境注入恶意代码。这种加密盗窃行为已经在实际环境中发生。

2026年4月8日，研究团队在arXiv上发布了一项系统性研究，题为《测量LLM供应链中的恶意中介攻击》，对428个AI API路由器进行了测试，发现9个路由器主动注入恶意代码，17个路由器访问了研究人员的AWS凭证，至少有一个免费路由器成功从研究人员控制的私钥中窃取了ETH。

攻击面集中在AI代理路由层，这一基础设施随着AI代理在区块链执行工作流中的应用而迅速扩展。现在的问题不再是这种威胁是否存在，而是有多少个被攻击的路由器正在处理实时用户会话。

发现：本月值得关注的顶级加密货币预售

恶意AI代理路由器的工作原理

标准的LLM API基础设施旨在进行简单的请求-响应中继：客户端发送提示，路由器将其转发给模型提供者，响应再返回。

恶意路由器正是利用了这一信任模型，它们作为应用层代理位于交换的中间，完全可以读取和写入通过的明文JSON有效负载。

没有任何加密标准约束路由器在传输中可以检查或修改的内容。恶意路由器可以看到原始提示、模型响应及其嵌入的所有信息，包括私钥、API凭证、钱包种子短语或用于实时部署环境的生成代码。

它可以在响应到达用户之前进行修改，向代码生成输出中注入额外代码，或悄悄地将凭证外泄到外部端点。

加州大学的研究人员构建了一个名为“Mine”的代理，模拟了针对公共框架的四种不同攻击类型，特别针对自主YOLO模式会话，这些会话中代理在每一步执行操作时无需人工确认。

在测试的428个路由器中，有两个部署了自适应规避策略，其中一个在激活恶意行为之前等待了50次API调用，以避免在初始测试中被检测到。这不是一个简单的凭证抓取工具，而是一个旨在经受审查的针对性工具。

污染攻击向量进一步加大了风险。当泄露的OpenAI API密钥通过受损的路由基础设施处理时，影响范围迅速扩大——在研究人员控制的测试环境中，处理了21亿个令牌，暴露了99个凭证。

谁面临风险——现有防御措施为何无法覆盖这一加密盗窃层面

问题不在于第三方API路由器的存在，而在于整个AI代理基础设施的信任模型假设路由层是中立的，而目前没有任何执行机制在大规模上验证这一假设。

开发者在构建链上工具、DeFi自动化脚本和自主交易代理时，常常通过第三方基础设施路由API调用。

来自公共社区的免费路由器——其中8个恶意注入器正是出现在这一类别中，因其降低了构建LLM驱动应用的成本而被广泛使用。随着DeFi中自动执行基础设施对外部数据和代理协调的依赖性增加，路由层成为越来越有吸引力的攻击目标。

现有的钱包安全措施——硬件设备、多重签名设置、离线密钥存储——并不能防止路由器在私钥到达签名层之前进行拦截，或在部署脚本中注入恶意代码，导致后续在链上执行。

根据Chainalysis的报告，年度加密盗窃损失已达到14亿美元。这种攻击方式并不需要破解密码学，而是需要妥协一个大多数用户从未检查的中间件。

YOLO模式自主会话是最高风险的暴露点。当代理在没有人工确认检查点的情况下执行多步骤交易时，恶意路由器有更大的操作窗口，用户也没有机会及时发现异常行为。

Solayer创始人@Fried_rice在2026年4月10日通过社交媒体放大了这一发现，描述了这一情况为“被大型语言模型代理广泛依赖的第三方API路由器”存在“系统性安全漏洞”，这一表述在DeFi工具广泛采用的背景下引发了广泛关注。

研究人员建议的防御措施是客户端侧的：在检测到异常响应时停止执行的故障关闭机制、响应异常过滤，以及不能被路由器篡改的仅追加审计日志。从长远来看，加州大学团队呼吁制定加密签名标准，使LLM响应可验证，这一架构原则应成为链上预言机完整性的设计要求，而不是事后考虑的事项。