加州大学的研究人员设置了一个陷阱——一个装有少量以太币并连接第三方AI路由基础设施的加密钱包。其中一个路由器上钩了。钱包被清空。损失不足50美元,但其影响远超金额本身。
该实验是近期发布的一项广泛研究的一部分,研究人员测试了从在线公开社区收集的428个大型语言模型路由器(28个付费,400个免费)。
发现结果令人震惊。9个路由器主动向流量中注入恶意代码,2个使用规避技术避免检测,17个访问了研究人员的AWS凭证,1个窃取了真实加密货币。
路由器如何成为安全盲点
LLM路由器位于开发者的应用程序与AI提供商(如OpenAI、Anthropic和Google)之间,作为中介将API访问整合到统一管道中。
26个LLM路由器正秘密注入恶意工具调用并窃取凭证。其中一个清空了我们客户50万美元的钱包。
我们还成功毒化路由器将流量转向我们。几小时内即可直接控制约400台主机。
查看论文:https://t.co/zyWz25CDpl pic.twitter.com/PlhmOYz2ec
— Chaofan Shou (@Fried_rice) 2026年4月10日
这是结构性问题。这些路由器会终止加密互联网连接(即TLS),并以明文读取所有消息后再转发。这意味着通过它们发送的任何内容(包括私钥、助记词和登录凭证)对路由操作者完全可见。
研究人员表示,从客户端无法区分正常凭证处理与直接窃取之间的界限。开发者无法辨别差异——看似合法的路由器可在不触发任何警报的情况下,将敏感数据静默转发给第三方。
合著者Chaofan Shou在X上表示,发现26个路由器「秘密注入恶意工具调用并窃取凭证」。
来源:LinkedIn
研究还标记了所谓的「YOLO模式」——这是许多AI代理框架的内置设置,允许代理在不征求用户批准的情况下运行命令。
恶意路由器结合自动执行代理,可在开发者察觉异常前转移资金或窃取数据。
加密安全:免费访问成为诱饵
研究报告指出免费路由器尤其可疑。廉价或免费的API访问似乎被用作诱饵,诱导开发者将流量路由至可能在后台收集凭证的基础设施。
BTCUSD 24小时图表交易价70,982美元:TradingView
即便初始干净的路由器也不安全——研究人员发现,一旦操作者通过安全防护薄弱的中继系统重用泄露的凭证,原本合法的路由器可能被静默转为恶意。
当前建议的解决方案很明确:完全避免在AI代理会话中使用私钥和助记词。
长期而言,研究人员表示AI公司需对响应进行加密签名,使得代理执行的指令可数学溯源至原始模型,从而杜绝中间人篡改的可能性。
特色图片来自Xage Security,图表来自TradingView
