














提前声明:纯粹「理论上的可能」,我目前暂未观察到、听说过任何类似行为,但从中转站的原理上看,存在这种可能。
众所周知,Agent 需要 Tool Call. 返回的 Tool Call 请求,到达本地客户端后,由用户同意(有时不需要同意),并执行。
返回的 Tool Call 不保证是无害的,我们已经见过很多被删全盘的惨痛案例。大部分时候,它们仅仅是 LLM Halluciation 的恶果。
然而,考虑到许多用户正在使用中转站,整条链路:
中转站充当中间人,除了理论上能够看到你的所有消息记录以外,还意味着它可以任意篡改信息内容。
比如:篡改 LLM 返回的 Tool Call 请求,在执行 Shell 时偷偷加入一些恶意代码,在编写的代码中偷偷加入恶意代码等。
而一旦恶意代码被执行,用户的运行环境就暴露于风险之中。
尽管大家已经清楚「 Agent 可能比较危险」,但这种危险更多是处于随机的、无意的执行失误。
而中转站的中间人攻击和 Skills 投毒一样,属于恶意的、明确的攻击。
区别在于:Skills 投毒仍有可能被强大的 LLM 识破并防御,但中转站的恶意篡改难以防御。
再次声明:我目前暂未观察到这种事件发生。但希望各位大家意识到其中隐藏的安全风险。这至少意味着:
可以使用 Docker 、Dev Container 或者虚拟机等工具,隔离出开发环境,保证遭受攻击后一把扬了重开个纯净版,至少不会影响到宿主机。(不考虑容器逃逸等情况)
但除了直接攻击宿主机之外,还有更隐蔽的一些攻击方案,例如:
总的来说,使用中转站时面临的安全风险比单纯的“可能瞎搞的 LLM”要高很多,因为存在恶意攻击的可能。特别是对于企业用户(比如一些小公司),需要注意其中的风险。
只要经过网关,似乎没有什么很好的安全方案。签名、E2EE 之类的也只能由 LLM 厂商做,不知道大伙有什么更好的防御思路。
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。