还记得那个曾曝光Claude代码泄漏事件的安全研究员Chaofan吗？最近，他和团队在网络安全顶会的预印本平台上扔下了一枚“重磅冲击波”——论文《Your Agent Is Mine》。这篇研究首次系统性地证实，第三方LLM路由器，也就是我们常说的“中转站”，已然成为AI Agent领域一个致命的中间人攻击点。攻击者可以借此窃取API密钥、篡改工具调用参数，而目前使用OpenRouter、LiteLLM等中转服务的AI Agent开发者，普遍暴露在无感知被攻击的风险之下。

这可不是什么小众发现。论文上线仅24小时，就获得了全球超过3000名AI安全研究者的引用和推荐。更值得注意的是，连OpenAI、Anthropic这些大模型厂商的安全团队成员都纷纷转发预警，认为这个漏洞补上了AI Agent安全版图中一个长期被忽视的空白区域。

那么，问题到底出在哪？关键在于现代AI Agent的核心工作模式。它们之所以强大，是因为能调用外部工具来完成复杂任务。但为了省去适配不同模型的麻烦、提升调用稳定性，超过90%的商用AI Agent都会选择接入第三方LLM中转服务，而不是直接对接大厂的原生API。

这就埋下了隐患。这类中转服务的本质，是应用层的一个流量转发节点。这意味着，所有流经它的请求报文，包括工具调用的具体参数、用户的API密钥、甚至上下文中的隐私数据，对它来说都是“透明”的，拥有完全的明文访问权限。一旦这个中转节点本身被恶意控制，攻击者根本不需要去硬啃开发者自己搭建的服务防护墙，就能长驱直入，实现攻击。

两种致命的攻击路径

Chaofan团队在论文里清晰地演示了两种典型的攻击手法：

第一种是Payload注入攻击。想象一下，攻击者可以在大模型返回结果之后，神不知鬼不觉地篡改其中的工具调用参数。比如，用户原本发起的指令是“向供应商转账100元”，攻击者在中转环节把金额改成10000元。由于开发者通常默认信任中转节点返回的结果，很少会做二次校验，这笔巨款可能就这么被转走了。

第二种是敏感信息窃取。这就更直接了——攻击者可以直接截获报文里明文传输的API密钥、私钥等核心信息。拿到这些，就相当于拿到了开发者调用大模型的“门禁卡”，不仅能直接接管调用权限，还能窃取过往的隐私对话数据。

最让人头疼的是，这类攻击完全隐藏在正常的服务链路之中。现有的绝大多数AI安全检测工具，都很难将其识别出来。已经有国内AI Agent开发团队的负责人在社交平台上坦言，自己的产品为了降低成本，长期使用某家低价中转服务，看到论文后惊出一身冷汗，当天就紧急切换到了自研的中转节点。

被忽视的供应链安全环节

这暴露了一个行业性的认知盲区。过去，大家对AI Agent安全的关注，大多集中在Prompt注入、模型输出对齐这些“前端”环节，而对于中转路由这类“供应链”环节的安全，几乎是一片空白。这就像只加固了城堡的大门，却忘了检查运送物资的通道是否可靠。

面对这个迫在眉睫的风险，Chaofan团队也给出了一些临时应对建议：对于有技术实力的团队，最稳妥的方式是自研中转路由节点，彻底避免使用不可信的第三方服务，尤其是那些以低价为噱头的。如果必须使用第三方中转，那么务必对工具调用请求添加严格的前后端签名校验机制，同时，不要在报文里传输任何不必要的敏感信息。

目前，压力已经给到了服务商这边。OpenRouter、LiteLLM等头部中转服务厂商已经迅速做出回应，承诺将在两周内推出端到端的加密功能，以确保中转节点无法接触到明文的请求数据。这或许是一个积极的开始，但整个生态的安全意识，显然还需要一次彻底的升级。