知名 Claude 代碼源碼泄漏事件吹哨人 Chaofan 近日再度發聲，聯合發布重磅論文《Your Agent Is Mine》，首次系統性揭露第三方 LLM 路由器（俗稱“中轉站”）已成為 AI Agent 領域最致命的中間人攻擊點。這一發現讓無數依賴 OpenRouter、LiteLLM 或各類低價中轉服務的開發者瞬間警醒:你的 Agent 可能早已在不知不覺中被完全掌控。

核心原理:路由器即應用層 MITM

現代 AI Agent 幾乎全部依賴第三方路由器轉發請求。這些路由器對每一條 JSON 報文擁有明文完全訪問權，包括 tool call 參數、API Key、私鑰等敏感信息。攻擊者只需部署一個惡意 Router，即可實現兩大隱蔽殺招:

Payload Injection（AC-1）:在上游模型返回結果后，偷偷篡改 tool call 參數（如將 curl 的 URL 指向攻擊者服務器），從而實現任意代碼執行(RCE)、持久化后門植入，甚至通過 typosquatting 長期潛伏。

Secret Exfiltration（AC-2）:被動掃描流量，瞬間竊取 sk-、AWS 憑證、ETH 私鑰等高價值信息，整個過程完全無聲無息。

攻擊支持條件觸發（如請求數超過50次或進入“YOLO”模式），隱蔽性極強，普通用戶和開發者難以察覺。

實測數據觸目驚心

研究團隊對28個付費路由器和400個免費路由器進行了全面測試，結果令人震驚:

9個路由器已主動注入惡意代碼;

1個路由器直接 Drain 研究者 ETH 錢包，損失高達50萬美元;

累計處理超過21億 token 流量;

暴露99個真實憑證;

401個 Agent 會話處于完全自主“YOLO”狀態，安全風險完全失控。

行業警示:中轉站安全成最大盲區

AIbase 認為，這一論文的意義在于第一次把“路由器安全”推到了 AI Agent 安全的最前臺。過去開發者更多關注模型本身的安全、prompt 注入或工具權限，而忽略了路由這一“必經之路”。當路由器成為應用層 MITM 時，所有上游模型的強大能力都可能瞬間為攻擊者所用。

無論是個人開發者還是企業級 Agent 系統，只要使用了第三方中轉服務，就可能面臨 Payload Injection 和 Secret Exfiltration 的雙重威脅。論文同時指出，低價、免費甚至部分付費中轉站的監管缺失，進一步放大了風險。

開發者立即行動建議

優先使用官方直連 API，避免不必要的中轉;

對自建路由器進行嚴格代碼審計和沙箱隔離;

啟用端到端加密與請求簽名驗證;

定期輪換 API Key，并監控異常 tool call 行為。

Chaofan 此次爆料再次提醒整個行業:在 AI Agent 快速落地的同時，底層基礎設施的安全性必須同步升級。《Your Agent Is Mine》論文的發布，或將成為 AI Agent 安全治理的重要轉折點。AIbase 將持續跟蹤該論文的后續討論與官方回應，建議所有 Agent 開發者立即自查路由鏈路安全。