26 個 LLM Router 被揭秘密注入惡意指令,安全研究員揭 50 萬美元錢包被掉空內幕
安全研究員 Chaofan Shou(X 帳號 @Fried_rice)於 4 月 10 日揭露一項針對 LLM API router 的大規模安全研究。研究發現 26 個 LLM router 正在暗中注入惡意 tool call 並竊取用戶憑證,其中一起攻擊直接掏空了客戶價值 50 萬美元的錢包。
什麼是 LLM Router,為什麼它能偷你的錢
LLM router 是一種 API 中間層服務,開發者透過它將請求轉發到不同的大型語言模型(如 GPT-4、Claude、Gemini 等),以獲取更低的價格或更好的可用性。由於 router 位於用戶與模型之間,它能完整讀取並修改雙向傳輸的內容。
研究團隊發現,惡意 router 會在模型的回應中偷偷注入額外的 tool call — 也就是讓 AI agent 執行原本不在對話脈絡中的操作,例如轉移加密貨幣、傳送私鑰或洩漏 API 憑證。對用戶而言,表面上看到的是正常的 AI 回應,但背後 agent 已被操控執行了惡意指令。
廣告 - 內文未完請往下捲動
50 萬美元錢包被掏空
研究報告中記錄的最嚴重案例,是一個客戶的 50 萬美元加密錢包被透過這種手法完全清空。攻擊者利用 router 的中間人位置,在 AI 回應中植入偽造的工具呼叫,指示 agent 將資金轉移到攻擊者控制的地址。
由於許多開發者在建構 AI agent 時會賦予其執行交易、管理錢包或操作 API 的權限,router 層的惡意注入等於直接取得了這些高權限操作的控制權。
反向接管:數小時內控制 400 台主機
研究團隊不僅發現了攻擊行為,還進一步展示了反向操作的可能性。他們成功「毒化」了部分 router,將流量轉發到自己的伺服器。在短短數小時內,研究團隊就能直接接管約 400 台主機 — 顯示這類基礎設施的安全防護極為脆弱。
AI Agent 時代的中間人攻擊
這項研究揭示了一個正在擴大的攻擊面:當 AI agent 被賦予越來越多的自主執行能力(包括操作錢包、呼叫 API、管理基礎設施),任何位於模型與用戶之間的中間層都可能成為攻擊入口。
社群對此反應強烈。有開發者質疑主流的 LLM router 服務(如 OpenRouter)是否也存在同樣的風險,也有人認為這正是 Anthropic 限制其最強模型僅開放給少數合作夥伴的原因之一。有評論者指出,AI agent 生態需要全新的安全層 — 針對 tool call 的零信任架構與簽章驗證機制。
值得注意的是,Chaofan Shou 正是今年 3 月率先揭露 Claude Code 原始碼外洩事件的同一位安全研究員。他在 AI 與區塊鏈安全領域的研究紀錄,使這項發現的可信度更高。
開發者應如何自保
對於正在使用第三方 LLM router 的開發者,研究隱含的建議包括:
- 盡可能直接使用模型供應商的官方 API,避免不必要的中間層
- 對 AI agent 的工具呼叫實施嚴格的白名單與權限控制
- 監控 agent 實際執行的 tool call 是否與預期一致
- 高價值操作(如資金轉移)應設置額外的人工確認機制,不應完全交由 agent 自主執行
風險提示
加密貨幣投資具有高度風險,其價格可能波動劇烈,您可能損失全部本金。請謹慎評估風險。
