加州大學研究論文：AI 代理路由器存重大漏洞，26 個秘密竊取加密憑證

加州大學研究團隊週四發表論文，首次系統記錄針對大型語言模型（LLM）供應鏈的惡意中間人攻擊，揭示 AI 代理生態系統中第三方路由器的重大安全盲點。論文合著者壽超凡在 X 上直接表示：「26 個 LLM 路由器正在秘密注入惡意工具呼叫並竊取憑證。」研究對 28 個付費路由器及 400 個免費路由器展開測試。

研究核心發現：惡意路由器在 AI 代理流量中的位置優勢

（來源：arXiv）

AI 代理的架構特性使其天然依賴第三方路由器：代理通過 API 中介聚合對 OpenAI、Anthropic、Google 等上游模型供應商的存取請求。關鍵問題在於，這些路由器終止了互聯網的 TLS（傳輸層安全）加密連線，並以明文形式讀取每一條傳輸訊息，包括工具呼叫的完整參數與上下文內容。

研究人員在誘餌路由器中植入加密錢包私鑰與 AWS 憑證，追蹤其被存取與利用的情況。

測試結果的關鍵數據

9 個路由器主動注入惡意程式碼：在 AI 代理的工具呼叫流程中嵌入未授權指令

2 個路由器部署自適應規避觸發器：能動態調整行為以繞過基本安全偵測

17 個路由器存取研究員 AWS 憑證：對第三方雲端服務構成直接威脅

1 個路由器完成 ETH 竊取：從研究員持有的私鑰中實際轉走以太坊，完成完整攻擊鏈

研究人員同時進行了兩項「投毒研究」，結果顯示即便是過去表現正常的路由器，一旦被弱中繼重複利用洩漏的憑證，也可能在運營商不知情的情況下成為攻擊工具。

為何難以偵測：憑證邊界的不可見性與 YOLO 模式風險

論文指出核心偵測困境：「對於客戶端而言，『憑證處理』與『憑證竊取』之間的界限是不可見的，因為路由器在正常轉發過程中已經以明文形式讀取了密鑰。」這意味著使用 Claude Code 等 AI 編碼代理開發智能合約或錢包的工程師，若未採取隔離措施，私鑰與助記詞會在完全符合預期的操作流程中流經惡意路由器。

另一個放大風險的因素是研究人員所稱的「 YOLO 模式」——多數 AI 代理框架中允許代理自動執行指令而無需用戶逐步確認的設置。在此模式下，被惡意路由器操控的代理可在毫無提示的情況下完成惡意合約呼叫或資產轉移，損害範圍遠超單純的憑證竊取。

研究論文總結：「 LLM API 路由器位於一個關鍵的信任邊界上，而該生態系統目前將其視為透明傳輸。」

防禦建議：短期實踐與長期架構方向

研究人員建議加密開發者立即採取以下措施：私鑰、助記詞及敏感 API 憑證應永遠不在 AI 代理會話中傳輸；選用路由器時應優先考慮具備透明審計記錄和明確基礎設施的服務；若可能，應將敏感操作與 AI 代理工作流程完全隔離。

長遠而言，研究人員呼籲 AI 公司對模型回應進行加密簽名，使客戶端能以數學方法驗證代理執行的指令確實來自合法的上游模型，而非被中間路由器篡改後的惡意版本。

常見問題

AI 代理路由器為何可以存取私鑰和助記詞？

LLM 路由器透過終止 TLS 加密連線，以明文形式讀取代理會話中的所有傳輸內容。若開發者使用 AI 代理處理涉及私鑰或助記詞的任務，這些敏感資料會在路由器層面完全可見，使惡意路由器得以輕易截取而不觸發任何異常警報。

如何判斷正在使用的路由器是否安全？

研究人員指出，「憑證處理」與「憑證竊取」在客戶端幾乎不可見，偵測極為困難。根本建議是在設計層面杜絕私鑰與助記詞進入任何 AI 代理工作流程，而非依賴後端偵測機制，並優先選用具備透明安全審計記錄的路由器服務。

什麼是 YOLO 模式，為何它加劇了安全風險？

YOLO 模式是 AI 代理框架中讓代理自動執行指令、無需用戶逐步確認的設置。在此模式下，若代理流量流經惡意路由器，攻擊者注入的惡意指令將被代理自動執行，損害範圍可從憑證竊取擴展至自動化惡意操作，用戶完全無法在執行前察覺異常。