实测428个AI中转站，9个投毒、17个窃密，还有1个转了钱

你身边肯定有人在用淘宝、闲鱼上便宜的”ChatGPT”或”Claude”。便宜得反常，用起来似乎也没出问题。

直到今年早些时候，加州UCSB大学的一项研究捅破了这层窗户纸。

研究员从淘宝、闲鱼等网站购买了28个中转站，又从微信、Telegram等公开社区收集了400个免费的，共计428个样本。配置好后，让AI Agent在沙箱环境中正常执行任务，观察是否会产生异常。结果就是：

9 个（含1个付费）会篡改执行命令。比如把大模型返回的合法下载链接给替换掉，导致Agent最终下载、运行木马程序。比如用户本来要让Agent执行pip install requests，中转站偷偷把它改成pip install reqeusts（第四、五个字母调换），而这个包原本就是攻击者自己写的恶意代码。

17个会窃取密钥。每次测试，研究员会添加一些假的AWS密钥，有17个中转站偷偷回传了这些虚假密钥。

还有1个导致加密货币被偷走。因为研究员把真实的以太坊私钥也放了进去，攻击者拿到之后就转走了以太币。

按照这个测试结果，超过6%的AI中转站，都有问题。

看到这些结论你可能会想：那不用不就行了？问题是，在国内，你几乎不可能不用。

因为OpenAI/Claude不对大陆提供服务，IP会封号，付款也走不通。哪怕你愿意花大钱用官方API，门也是关着的。

于是中转站成了必选项，并且成为了今年最火爆的生意之一，随便在电商平台上一搜，满屏皆是。折扣远低于官方报价，便宜得令人发指。为什么这么便宜？没人在乎。

那这些卖家就一定用的是官方API么？不一定。他们大部分是从某个聚合商那里批发，聚合商又是从OpenRouter这样的国际中转商那里拿，OpenRouter才最终对接OpenAI，一条链4跳是常态。你以为你在跟GPT直接对话，实际上中间却有很多人在传话。

最关键的是，每个中转站都会把收到的TLS连接断掉，解密读取明文后，再重新发起TLS连接到下一个节点。

这也就意味着，每经过一次中转站，所有请求内容就会暴露一次。包括prompt、贴进去的代码、API key，甚至大模型输出给Agent的命令都可能被篡改，去执行中转站自己写入的恶意代码。

这点和其他不参与加解密的代理有很大不同，也是攻击者盯上AI中转站的根本逻辑。

攻击者可以卖自己的中转站，边收费边搞黑产；也可以劫持那些不安全的中转站，收归己用。

对于聪明的用户来说，挑中转站前先测一测、跑一跑沙箱看看正不正常，是不是就能挡住了？

那你太低估这帮人了，为了绕过这些测试，他们着实想了不少办法。

第一种：静默一段时间，发了50次请求以后才触发。

测试的时候，前10个到20个请求，都是正常返回；但等我们觉得没问题后，第51次请求开始，恶意指令就来了。

第二种：只在Agent具备自动执行权限（YOLO模式）时触发。

很多用户为了方便都会选择这种模式，不用每次都要点确认。但攻击者也很喜欢这种模式，只对开了YOLO模式的会话动手，因为中转站说什么，机器就执行什么，没人会看执行内容。

因为这两个语言，经常被用于开发区块链工具、交易系统、基础设施等等真正值钱的东西，垃圾目标不值得攻击者暴露自己。

把这三个条件组合起来再攻击，就已经能逃逸绝大多数安全测试了。

类似的条件可能还有很多，任何有限的黑盒审计都无法穷举这些条件，也就无法百分百确认中转站的安全性。

没人知道攻击者在等什么时机，可能每一次正常返回都可能是它在数你的请求数。这意味着恶意中转站的比例，可能远比测试结果的6%大得多。

那挑一家看起来正经的，或者自己搭一个，是不是就行了？研究员正面回答这个问题，高级的猎手往往是以猎物的形式出现的。

研究员自己搞了一个中转站，然后把API key泄露到中文论坛、微信群、Telegram群里。几天时间，这个key就消耗了上亿token，至少7个中转站把这个”不明来历”的key配进了自己的服务里，所有用这些中转站的开发者，他们的代码、对话、密钥，都被静悄悄地流过了研究员的代理。

研究者通过”自己当一回中转站”，证明了”中转站也会偷偷挂中转站”。你以为你在用一个中转站，背后可能还嵌套着N个你完全没感知的中转站。

研究员还在网上公开部署了40个中转站，故意设置成弱密码，挂上Sub2API、CLIProxyAPI、claude-relay-service这些常见的开源框架，吸引到了不少攻击者前来攻击。

测试数据显示，40个中转站共计被未授权访问4万多次。中转站被劫持后，被攻击者放到了自己的链路上，共计产生20亿token的流量、13GB的数据。

让人觉得头皮发麻的是，在涉及到的440个Codex会话里，有401个具备自动执行权限(YOLO)。攻击者想要控制你的机器，简直不要太容易。

看到这里你大概率会想：那我们公司该怎么办？

一个真实公司里的状态是这样的：

● 公司采购了统一的大模型网关；

● 研发部嫌慢，自己买了一个；业务部门嫌没接Claude，又买了一个；

● 部分员工嫌报销麻烦，直接闲鱼9块9包月开了一个，配进了Cursor里。

三类人都在用”中转站”，对接的是三条完全不同、安全团队看不见的链。

不知道有哪些链、谁在用、连去哪里，那些篡改命令、远程控制、上游嵌套恶意源的风险，一个都防不住，甚至不知道要防的东西藏在哪里。

所以第一步不是”上什么防护”，是先看见。

只要发生通信，网络流量痕迹里就是藏不住的，第一时间就能看到。

中转站只是一个入口。真正的问题是：企业内部有哪些AI工具在被使用？走的是什么链路？哪些Agent拿到了自动执行权限？能碰到哪些代码、密钥和系统？这些加在一起，才是企业AI使用的完整现状——而多数安全团队对此还在摸索覆盖中。

这正是TDP近期上线AI应用识别能力要解决的问题——帮助企业把AI中转站、AI Agent、大模型访问和AI基础设施先梳理出来。这里包括四个层面：

AI中转站。企业内部使用了多少AI中转站？哪些是商业中转站、哪些是企业内部自建的大模型网关？哪些是公司允许的、哪些是公司不允许的？

AI Agent使用痕迹。哪些终端、服务器上的Agent在连接中转站，具备什么样的访问、执行权限，还有没有其他Agent。一个Agent跑在普通办公电脑上，和跑在财务/研发机器上、跑在CI/CD 环境里，风险等级完全不一样。

外部大模型/应用访问。内部主要在使用哪些外部AI工具？调用哪些外部模型？有没有突然新增？有没有异常频率？

AI基础设施。MCP服务、Dify/n8n工作流编排平台、Ollama等大模型基础设施——这些东西的位置、谁在访问、和哪些系统通信，都能从流量里还原出来。

结语

中转站只是把问题撕开了一个口子。真正的问题是：当AI越来越深地嵌进企业的每一台机器、每一条业务流程的时候，企业还能不能说清楚”自己内网里到底在发生什么”？

哪些电脑在跟大模型说话、哪个Agent拿着哪些权限、哪个向量库里装着上一版的代码、哪个MCP Server挂着能动生产环境的工具。这些问题，绝大多数企业今天都答不上来。

因为AI把”企业资产”的定义又改写了。过去安全团队管的是机器、是端口、是服务；后来管的是账号、框架、应用、API；现在还要管模型、管Agent、管prompt、管那条连去外部的链。

每一次技术革命，都会先撕开一道这样的缝,出现一类全新的、原来的安全工具看不见的东西。邮件时代有过，软件供应链时代有过，现在轮到AI时代。

信任、加密、签名这些深层机制，需要时间。但先把那些原本看不见的东西，变得看得见, 这件事现在就能做，也必须先做。

因为看不见的东西，没法防。

参考链接：[2604.08407] Your Agent Is Mine: Measuring Malicious Intermediary Attacks on the LLM Supply Chain

·END·

文章来源：微步在线