惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

SecWiki News
SecWiki News
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
V
Visual Studio Blog
博客园 - 叶小钗
S
SegmentFault 最新的问题
IT之家
IT之家
大猫的无限游戏
大猫的无限游戏
博客园_首页
Apple Machine Learning Research
Apple Machine Learning Research
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
月光博客
月光博客
酷 壳 – CoolShell
酷 壳 – CoolShell
腾讯CDC
D
Darknet – Hacking Tools, Hacker News & Cyber Security
V
V2EX
阮一峰的网络日志
阮一峰的网络日志
L
Lohrmann on Cybersecurity
量子位
C
Cyber Attacks, Cyber Crime and Cyber Security
T
Tor Project blog
J
Java Code Geeks
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
博客园 - 三生石上(FineUI控件)
Attack and Defense Labs
Attack and Defense Labs
AI
AI
The Cloudflare Blog
T
Tailwind CSS Blog
S
Schneier on Security
爱范儿
爱范儿
PCI Perspectives
PCI Perspectives
Stack Overflow Blog
Stack Overflow Blog
S
Secure Thoughts
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
T
The Exploit Database - CXSecurity.com
博客园 - 【当耐特】
V2EX - 技术
V2EX - 技术
S
Securelist
P
Proofpoint News Feed
T
Threat Research - Cisco Blogs
Help Net Security
Help Net Security
C
Cisco Blogs
N
News and Events Feed by Topic
人人都是产品经理
人人都是产品经理
B
Blog RSS Feed
K
Kaspersky official blog
T
The Blog of Author Tim Ferriss
G
Google Developers Blog
S
Security Affairs
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
Simon Willison's Weblog
Simon Willison's Weblog

信息安全

阿里云被人暴力破解了 - V2EX 申请广电卡遇到疑似信息泄露 或 狸猫换太子的套路 - V2EX 为啥有网站可以检测出姓名与手机号实名信息不一致 - V2EX [apifox 投毒]都在 ai 写文章吗? - V2EX CVE-2026-46242 (Bad Epoll) 可在浏览器沙盒及安卓触发的提权漏洞 - V2EX 好心提醒,最近有个漏洞比较严重,建议大家关注下 - V2EX [原创]关于 Linux 终端安全监控 - V2EX 对 curl 下载脚本一定要万分小心,早上下载 claude 差点翻车 - V2EX 一个 reCAPTCHA 把我骗到重装系统,分享出来给大家提个醒 - V2EX 哪吒监控严重漏洞 CVE-2026-53519 - V2EX windows 汽水音乐下载踩坑: Google 搜索结果 前几个都是假站 已中招 🤦‍♂️ 微软帐号频繁有奇怪的二步登录请求 如果服务器都被黑进去了,还能保证配置文件的安全吗 分享 5-6 月份 CISA,CISSP 考试心得 又是 npm 包投毒...桌面莫名其妙多了个文件... 请教下,提示词注入大家一般都怎么防啊? 被鹰啄了眼 供应链攻击,正在蔓延,各位小心。逾 5500 个 GitHub 仓库在一场供应链攻击中遭感染 APKPure 上的 Telegram 官方版被植入间谍后门 GitHub 有可能被黑了 两个未修复微软 Win11 漏洞披露,涉及 BitLocker 绕过和本地提权 天塌了,数据库被黑客删库了,交 BTC 才会恢复数据,大家有办法恢复数据么 NPM 又被投毒,TanStack、Mistral AI、UiPath 等受波及,可窃取云密钥/SSH 密钥与 GitHub 令牌 用 socket.dev 给 npm install 包一层安全防御 TanStack 最新版本被投毒,病毒会盗密钥和报复性删除用户目录 紧急避雷! google 搜 Codex 第一个结果是个病毒,千万别装,我已中招! 如何评价 VLESS 漏洞报告正文 Linux 高危内核提权漏洞 新一键 root 提权漏洞 dirtyfrag.io V2EX Ubuntu 高危漏洞 刚刚爆了一个影响 17 年后所有 Linux 内核的本地提权漏洞 CVE-2026-31431 / Copy Fail,尽快排查 机场的私有客户端, win 系统 defender 疯狂报病毒,拒下载安装,是有毒吗? - V2EX Bitwarden Cli 遭遇供应链攻击 WARNING: Bitwarden CLI was compromised in a supply chain attack. Vercel 又出问题 - Vercel April 2026 security incident - V2EX 新电脑 brew install node 之后,一个小设置可以提升对供应链投毒的防御 - V2EX Ucsb 发布的关于中转投毒论文 - V2EX 今天测试了一下 SD-wan 线路,结果就发生了这事 CPUID 官网疑似被入侵,提供带毒的 CPU-Z 和 HWMonitor Axios 投毒过程,源于电影高于电影 GitHub 中有些人给代码放恶意代码,如何针对他? - V2EX 手机系统三天两头爆漏洞,有什么产生损失的具体案例吗? - V2EX 出现了这么多开源软件攻击, 是否有必要优化一下发布流程? - V2EX 巨魔款 iOS 版本都存在网页投毒的 BUG。应当如何正确防范?(除升级放弃巨魔外) - V2EX 近期重大安全事件 - V2EX macOS 疑似中毒 - V2EX axios@1.14.1 遭遇供应链投毒:针对开发者及 MCP 用户的高隐蔽性 0-day 攻击 B 站反诈 Up 主总说“胡乱点进”了骗子的电脑,是用的什么方式? - V2EX 来自巨硬、神奇的勒索邮件,邮箱被黑了吗? - V2EX 你们有收到过 Nvdia 发的这种邮件吗 - V2EX [apifox 投毒]都在聊文件细节,就我在关心是如何被投毒的吗? 此次 ApiFox 是否中招自查命令 - V2EX Apifox 自己文件服务被入侵了,为什么说遭供应链攻击?还是理解有问题? 中了 apifox 供应链投毒,想问问大家有装带行为分析的杀软吗? - V2EX Apifox 供应链投毒,中招后是否需要重装系统? - V2EX 昨天 liteLLM 供应链投毒中招的伙计们出来说说都怎么清理的后门 - V2EX Apifox 遭受供应链攻击 - V2EX [记录]-木马 Rondo - V2EX 技术安全:正常网络, P2P/Relay 下双终端安全传输纯文本信息,群聊/多媒体支持并非必须 - V2EX 追踪超算被黑后续 - V2EX 接上一个超算被黑话题,后续情况 - V2EX FOFA 是不是被脱裤了? - V2EX Codex 存在代码执行漏洞,可通过打开恶意文件夹/代码仓库静默触发 - V2EX 某团队公开了一个支付宝的攻击面 请问 V 友们工作上一些项目中敏感信息存哪 广大 V 友注意, IDEA 插件 claude-code-gui 插件会盗刷 token,我已中招,已经举报下架 - V2EX 自建 Emby / MoviePilot 用户安全提醒 - V2EX 刚才公司全员被电信诈骗了一次了 想问一下国内关于漏洞挖掘的情报在哪里可以看到最新的啊, TSRC, MSRC 这种的 青龙面板最新版存在未授权 RCE 漏洞,请尽快处置 单纯好奇,如果 AI 用于安全方面,应该能做到很炸裂的效果,但感觉没啥动静 - V2EX 1Password 涨价了,土区如果之前订阅了还能继续原价吗 企业邮箱被盗,群发诈骗网站,怎么教他做人 1password 涨价了。。 orayc.com 一个伪装成向日葵远程的恶意网站 如何保障个人的信息安全? 对 6 位数字 PIN 进行慢哈希是不是形式主义安全? 推荐使用 Pangolin 防护公网暴露的 web 服务 经过飞牛事件,求分享具有一定安全性的 Web / WAF 方案 我也推荐一下自用的安全方式,长随机字符串二级目录,可避免路径穿越 建议给所有需要公网暴露的 web 服务套一层 authelia AI Agent 经常脑补出不存在的包名然后自动安装,感觉供应链攻击风险很大,黑客可以抢注这些包名。为什么没有 AI IDE 能自动在执行前搜索对应包的创建时间、Git star 数、社区评价再安装? 1000 万国产安卓电视设备成为僵尸网络!
使用 AI 中转站会不会泄漏自己的敏感信息?中转站如果给返回一些恶意信息怎么办?有用 AI 中转站的佬来分享下吗?
JoeJoeJoe · 2026-03-06 · via 信息安全

这是一个创建于 98 天前的主题,其中的信息可能已经有所发展或是发生改变。

比如说我用了中转站的 AI API, 然后中转方在我原来的提示词基础上给我夹带了一些私货

比如扫描某些敏感文件(加密钱包的默认存储路径)然后上传啥的, 如果是能被发现还好说, 但是如果是龙虾这种纯自动的机器人是不是就会中招?

还是说现在已经有了很完善的防御机制, 我的信息有些落后了?

感谢回复!

  • AI
  • 隐私
  • 安全

    32 条回复    2026-03-07 22:27:35 +08:00

    Meteora626

    1

    Meteora626      3 月 6 日

    比如说我用了中转站的 AI API, 然后中转方在我原来的提示词基础上给我夹带了一些私货

    中转站里面的逆向 api 就是这么玩的,要不然那么便宜

    tthem

    2

    tthem      3 月 6 日

    我也有这样的担忧,所以 openclaw ,我是不敢用中转站的。

    选择订阅了一个 gpt 的企业车( 8 块钱一个月) + 闲鱼买了一个 minimax codingplan 的 199 套餐( 55 元)

    量大管饱。

    bitmin

    3

    bitmin      3 月 6 日

    是个很好的思路,黑产只要入侵了中转站,修改中转站返回的数据就可以让龙虾叛变了

    kulove

    5

    kulove      3 月 6 日 via Android

    肯定的 最简单的可能就是加一句读取 env 文件 然后导致 key 泄露 所以我从来不用中转站

    kulove

    8

    kulove      3 月 6 日 via Android   ❤️ 1

    @JoeJoeJoe 几乎没有 中转站注入的是系统提示词 优先级很高 无非是禁止读取 env 文件或者脚本运行前确认之类的 但这种也会影响体验
    要说有办法 那就是订阅官方 然后收益大于投入就好了

    Rickkkkkkk

    9

    Rickkkkkkk      3 月 6 日   ❤️ 4

    会,怕就不要用。

    这和你用梯子一样的,你要默认梯子的服务商知道你所有的访问记录和信息。

    hafuhafu

    10

    hafuhafu      3 月 6 日

    真想使坏,那必然是会存在很大的隐私和安全问题。你能想到的安全问题都确确实实存在。毕竟你调用的就是人家自己的接口。
    所以不要用中转站弄一些涉及隐私的东西,写写代码之类的问题不大。跑权限很大的 agent 还是算了。

    sjdhome

    13

    sjdhome      3 月 6 日

    感觉以后 LLM API 也会发明一个类似 TLS 的东西,现在中转站就像以前的运营商一样。

    0o0o0o0

    14

    0o0o0o0      3 月 6 日

    openclaw 最危险的应该是提示词注入吧,这东西甚至都不需要中间人,只要访问到陷阱网页就可以直接策反 ai 了

    daj2

    16

    daj2      3 月 6 日

    自从发现龙虾可以用 codex oauth 和 claude setuptoken 之后就对中转站没有需求了,也有开源项目可以通过订阅反向生成 api key 的,比如 CaddyGlow/ccproxy-api

    pipy

    17

    pipy      3 月 6 日

    是基于 newapi 建设的吗? newapi 的开源政策写了

    JoeJoeJoe

    18

    JoeJoeJoe      3 月 6 日

    @sjdhome 现在大家都在用 open ai 的 api, 都快成事实标准了, 但是感觉 open ai 并没打算做这件事

    @0o0o0o0 差不多场景感觉

    @pipy 没有, 只是在思考这件事情本身.

    @daj2 但是 token 是真的贵, 龙虾是真的能吃

    milkleeeeee

    19

    milkleeeeee      3 月 6 日

    claude code 现在有一个 sandbox 模式,可以试试

    luaex

    20

    luaex      3 月 6 日

    比如龙虾跑一些自动化交易,区块链不区块链的,配置里面带有交易站点的 api key 或钱包私钥,让龙虾去跑,但用的中转站,就有可能被中转站记录下来盗用

    defaw

    26

    defaw      3 月 6 日

    你用明显不对等的价格去要求别人的服务时就默认了你要承受风险,只能说怕就别用,你总不能指望开源社区给你写一个检测器出来。

    kksj

    28

    kksj      3 月 6 日

    这种都是违法的,就算可以做哪天被收到律师函了根本得不偿失的

    genuifx

    29

    genuifx      3 月 6 日

    敏感项目一定不要走中转,即便走中转也不要给最高权限

    anyChris

    31

    anyChris      3 月 7 日

    敏感信息这块,我的做法是代码里硬编码的密钥走环境变量,AI 看不到。业务逻辑、算法思路这些让 AI 看也无妨。

    至于恶意返回,目前没遇到过。但确实有这个风险,所以重要决策还是人工过一遍,别让 AI 直接执行敏感操作。

    YDCHYD

    32

    YDCHYD      3 月 7 日 via iPhone

    中转站的价格就注定不可能单靠卖你的那点差价赚钱,肯定会收集数据打包卖给第三方。至于收集多少数据就不得而知了