UC 系統六位研究人員實測 428 個 LLM API Router，發現 9 個正主動注入惡意程式碼、17 個竊取 AWS 憑證、1 個直接從誘餌錢包盜走 ETH；更震撼的是毒化實驗顯示，一把外洩的 OpenAI 金鑰在被察覺前已被燒掉 1 億個 GPT-5.4 tokens，440 個被攻陷的 Codex 工作階段中有 401 個已處於無人工審核的 YOLO 自動執行模式。 本文源自 arXiv:2604.08407 論文《Your Agent Is Mine: Measuring Malicious Intermediary Attacks on the LLM Supply Chain》（作者：Hanzhi Liu、Chaofan Shou、Hongbo Wen、Yanju Chen、Ryan Jingyang Fang、Yu Feng），由動區動趨編譯整理。 （前情提要：慢霧專欄：資金交給「龍蝦」 AI Agent 真的安全？聯合 Bitget 報告揭露五大風險） （背景補充：Y Combinator 創業指南解讀：AI Agent 在未來有哪些發展趨勢？）   你以為連到的是 OpenAI 或 Anthropic 的 API，但流量其實先穿過了一個你從沒見過的陌生伺服器。UC 系統研究人員 Chaofan Shou 在 X 上發出一則警告：「26 LLM routers are secretly injecting malicious tool calls and stealing creds（26 個 LLM router 正在暗中注入惡意工具呼叫並竊取憑證）。」這句話背後，是一份由六位 UC 系統研究人員歷時數月、針對 428 個現實部署 LLM 中繼 router 進行的系統性安全審查。 TLS 終止：你看不見的流量劫持點 現代 AI 開發流程中，許多開發者或企業為了省成本、繞過地區限制、或集中管理 API 金鑰，會透過第三方「LLM router」來轉發請求——這些 router 接收你的明文 JSON 酬載，再幫你打給 OpenAI、Anthropic 等模型供應商。 研究團隊在論文中直接點明問題核心：「These routers operate as application-layer proxies with full plaintext access to every in-flight JSON payload.（這些 router 是應用層代理，以明文形式完全存取所有飛行中的 JSON 酬載。）」TLS 加密在你和 router 之間就已終止——從 router 到模型供應商的這段路，router 看到的是完整的請求與回應內容，包括你的系統提示、對話歷史、API 金鑰，以及任何嵌在訊息中的私鑰或憑證。 四類攻擊，論文首次形式化定義 研究團隊將惡意中繼攻擊正式分類為四種型態： AC-1：Payload Injection（酬載注入）——router 在轉發過程中直接修改 JSON 酬載，插入惡意指令或偽造工具呼叫，讓下游 AI Agent 在毫不知情的情況下執行攻擊者指定的操作。 AC-1.a：Dependency-Targeted Injection——AC-1 的自適應逃避變體。router 能識別客戶端使用的 AI Agent 框架（如 LangChain、AutoGPT 等），針對特定依賴套件的已知弱點精準投放惡意酬載，讓靜態特徵掃描難以察覺。 AC-1.b：Conditional Delivery——另一種逃避變體。惡意酬載不會對所有請求觸發，只在滿足特定條件時才投放——例如特定時間窗口、特定使用者 ID、或特定請求內容。這使得安全審計人員在測試環境中幾乎無法複現。 AC-2：Secret Exfiltration（機密外洩）——router 在轉發流量的同時，靜默複製 API 金鑰、憑證、私鑰等敏感資料並傳送至攻擊者控制的端點。 為了系統性評估上述四類攻擊對現實框架的有效性，研究團隊自建了一個測試代理，命名為 Mine。這個命名本身就帶著諷刺：論文標題是「Your Agent Is Mine」，而用來驗證「你的 Agent 被我奪走」的工具，也叫 Mine——雙關意味濃厚，意指攻擊者可以像佔有礦脈一樣，悄悄控制你以為屬於自己的 AI Agent。Mine 針對四個公開 AI Agent 框架進行了完整的攻擊評估。 428 個 Router 的實測結果 研究團隊從多個管道蒐集了 428 個現實部署的 LLM router，分兩類進行測試： ・付費 router（28 個）：從淘寶、閒魚、Shopify 等平台上的託管商店購得。結果：1 個主動注入惡意程式碼。 ・免費 router（400 個）：從公開社群蒐集。結果：8 個主動注入惡意程式碼。 在逃避行為方面，2 個 router 部署了 AC-1.a 或 AC-1.b 的自適應逃避機制——這意味著它們能根據環境調整攻擊策略，讓靜態掃描或短期測試難以發現。 在憑證竊取方面，研究人員預置了誘餌 AWS canary 憑證：17 個 router 在測試期間觸及了這些誘餌憑證，顯示它們確實有蒐集流量中敏感資料的行為。更直接的案例是：1 個 router 從研究人員預置的私鑰錢包中，實際盜走了 ETH（損失金額低於 50 美元）。 毒化研究：誘餌憑證引爆的真實規模 如果說上述資料展示的是攻擊者的存在，那毒化研究（Poisoning Studies）揭示的，是攻擊者一旦得手之後的破壞力——這是論文中真正令人警覺的核心發現。 研究人員刻意將誘餌憑證洩漏給部分弱配置的 router，觀察攻擊者如何實際濫用取得的 API 金鑰： 單把金鑰的個案：一把 OpenAI API 金鑰遭竊後，攻擊者在研究人員能介入之前，燒掉了 1 億（100M）個 GPT-5.4 tokens，並執行了超過 7 個 Codex 工作階段。 弱配置...