人工智能代理显示对路由器攻击的脆弱性

AI代理链中的关键漏洞：路由器

路由器（API中介）连接本地代理应用与云端AI模型，构成一个鲜为人知但极其危险的攻击点。加州大学圣塔芭芭拉分校的研究人员展示了利用此漏洞的简易性。

什么是AI路由器？
* 角色——客户端应用与模型提供商（OpenAI、Anthropic、Google）之间的代理。
* 访问——完全可见通过它传递的每个JSON包。
* 安全性——大多数大型供应商不使用加密完整性校验；因此路由器可以在未被发现的情况下修改请求。

研究人员如何验证威胁
步骤 | 做了什么 | 结果
1 | 获取28个商业路由器（淘宝、闲鱼、Shopify）的访问权限，并分析400个公开社区中的免费实例。 | 发现大量潜在危险点。
2 | 注入payload，将安装程序URL或包名替换为受控资源。修改后的JSON通过所有自动检查；一条被改写的`curl`命令在客户端执行任意代码。 | 成功。
3 | 泄露OpenAI API密钥，并观察攻击者使用它生成1亿个GPT‑5 token。 | 发生泄漏。
4 | 在20个IP地址上部署20个专门易受攻击的路由器并监控其活动。 | 40000次未授权访问尝试，约20亿已付token，440个Codex会话中出现99组凭证（398项目）。在401/440个会话中启用了YOLO自主模式，使代理能执行任何命令而无需确认。

为何如此危险
* 攻击简单——不需要伪造证书；客户端自行指定API终点。
* 缺乏完整性校验——恶意路由器可修改代理将要执行的指令。
* 非安全服务——即使是“善意”的中介也可能成为攻击向量。

如何在不依赖供应商的情况下防护
1. 模型响应签名——理想方案，但大型供应商目前尚未提供（类似于邮件的DKIM）。
2. 客户端多层保护——将每个路由器视为潜在敌人：
* 验证JSON结构与内容。
* 限制URL、HTTP方法和payload。
* 记录日志并监控可疑活动。
3. 限制API密钥访问——将密钥存放于安全仓库，实施轮换和最小权限。

结论
在供应商未提供响应签名机制前，无法验证AI模型发出的指令来源。用户必须在客户端侧自我防护，仔细检查所有中间服务并执行严格的安全策略。