惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

S
Secure Thoughts
罗磊的独立博客
T
The Blog of Author Tim Ferriss
人人都是产品经理
人人都是产品经理
博客园 - 叶小钗
Last Week in AI
Last Week in AI
美团技术团队
Google Online Security Blog
Google Online Security Blog
Application and Cybersecurity Blog
Application and Cybersecurity Blog
D
Docker
G
Google Developers Blog
大猫的无限游戏
大猫的无限游戏
酷 壳 – CoolShell
酷 壳 – CoolShell
小众软件
小众软件
月光博客
月光博客
L
LINUX DO - 最新话题
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
W
WeLiveSecurity
H
Heimdal Security Blog
Vercel News
Vercel News
SecWiki News
SecWiki News
Forbes - Security
Forbes - Security
Blog — PlanetScale
Blog — PlanetScale
Google DeepMind News
Google DeepMind News
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
www.infosecurity-magazine.com
www.infosecurity-magazine.com
TaoSecurity Blog
TaoSecurity Blog
T
Troy Hunt's Blog
A
About on SuperTechFans
C
Check Point Blog
S
Security Affairs
Hacker News - Newest:
Hacker News - Newest: "LLM"
AI
AI
WordPress大学
WordPress大学
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
Help Net Security
Help Net Security
博客园_首页
The Last Watchdog
The Last Watchdog
S
SegmentFault 最新的问题
Hugging Face - Blog
Hugging Face - Blog
Security Archives - TechRepublic
Security Archives - TechRepublic
Engineering at Meta
Engineering at Meta
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
I
Intezer
K
Kaspersky official blog
M
MIT News - Artificial intelligence
J
Java Code Geeks
G
GRAHAM CLULEY
P
Palo Alto Networks Blog

网络安全

iPhone 上莫名其妙的请求,请教一下如何分析? GitHub 约 3,800 个仓库受影响,疑似源于恶意 VS Code 扩展 好像遇到了 npm 投毒事件 想请教下企业防勒索方案和报价的判断 《“词元”这么火,该注意点啥?》 求推荐代码审计软件/平台/插件 litellm 投毒事件自查脚本 Apifox 桌面端被投毒? LiteLLM 高危漏洞 litellm PyPI package (v1.82.7 + v1.82.8) compromised 收到自己发给自己的邮件〔钓鱼邮件〕 想问下各位大佬,学习网络该从哪开始看? V2EX RustDesk 遭受大规模僵尸网络攻击 - V2EX 现在哪款网页防篡改软件好用? google 账号被添加陌生号码,怎么排查问题在哪里? 我创建了"网络安全"节点
警惕中转站中间人攻击风险
Clouder1 · 2026-03-18 · via 网络安全

提前声明:纯粹「理论上的可能」,我目前暂未观察到、听说过任何类似行为,但从中转站的原理上看,存在这种可能。

众所周知,Agent 需要 Tool Call. 返回的 Tool Call 请求,到达本地客户端后,由用户同意(有时不需要同意),并执行。

返回的 Tool Call 不保证是无害的,我们已经见过很多被删全盘的惨痛案例。大部分时候,它们仅仅是 LLM Halluciation 的恶果。

然而,考虑到许多用户正在使用中转站,整条链路:

  • 相对比较可信的官方
  • 不清楚是否可信的中转站
  • Agent 客户端

中转站充当中间人,除了理论上能够看到你的所有消息记录以外,还意味着它可以任意篡改信息内容

比如:篡改 LLM 返回的 Tool Call 请求,在执行 Shell 时偷偷加入一些恶意代码,在编写的代码中偷偷加入恶意代码等。

而一旦恶意代码被执行,用户的运行环境就暴露于风险之中。

尽管大家已经清楚「 Agent 可能比较危险」,但这种危险更多是处于随机的、无意的执行失误。

而中转站的中间人攻击和 Skills 投毒一样,属于恶意的、明确的攻击。

区别在于:Skills 投毒仍有可能被强大的 LLM 识破并防御,但中转站的恶意篡改难以防御。

再次声明:我目前暂未观察到这种事件发生。但希望各位大家意识到其中隐藏的安全风险。这至少意味着:

  1. 中转站「售卖用户」牟利,不仅可以存在于卖数据层面,还可以存在于卖肉鸡层面。
  2. 你可能需要更可靠的安全措施,比如使用容器、虚拟机等隔离环境。
  3. 对于劣迹中转站,请谨慎使用。对于各种掺 GLM 当 Opus 卖、掺逆向、注水造假的无良中转,只要有利可图,出卖用户似乎也并非不可能。

可以使用 Docker 、Dev Container 或者虚拟机等工具,隔离出开发环境,保证遭受攻击后一把扬了重开个纯净版,至少不会影响到宿主机。(不考虑容器逃逸等情况)

但除了直接攻击宿主机之外,还有更隐蔽的一些攻击方案,例如:

  1. 使 Agent 引入一些被恶意投毒的依赖,攻击生产环境。
  2. 故意在代码中留出一定漏洞,攻击生产环境。
  3. ....

总的来说,使用中转站时面临的安全风险比单纯的“可能瞎搞的 LLM”要高很多,因为存在恶意攻击的可能。特别是对于企业用户(比如一些小公司),需要注意其中的风险。

只要经过网关,似乎没有什么很好的安全方案。签名、E2EE 之类的也只能由 LLM 厂商做,不知道大伙有什么更好的防御思路。