Solayer 創始人發布 LLM 供應鏈安全研究,超 2% 免費路由器被曝惡意注入
ETH0.16%
門戶新聞消息,4 月 10 日,Solayer 創始人 @Fried_rice 在社交媒體發文披露大型語言模型(LLM)供應鏈重大安全隱患。研究指出,LLM 代理日益依賴第三方 API 路由器將工具呼叫請求分派給多個上游供應商,這些路由器作為應用層代理運行,能以明文形式存取每個傳輸中的 JSON 載荷,但目前沒有任何供應商在用戶端與上游模型之間強制執行加密完整性保護。
該論文對從 淘寶、閒魚 以及 Shopify 獨立站 購買的 28 個付費路由器,以及從公開社群收集的 400 個免費路由器進行測試,結果發現 1 個付費路由器和 8 個免費路由器正在主動注入惡意程式碼,2 個部署了自適應規避觸發器,17 個碰觸了研究人員所擁有的 AWS Canary 憑證,還有 1 個從研究人員持有的私鑰中竊取了 ETH。
兩項投毒研究進一步表明,看似無害的路由器同樣可被利用:一個外洩的 OpenAI 金鑰被用於生成 1 億個 GPT-5.4 token 及超過 7 個 Codex 會話;而配置較弱的誘餌則產生了 20 億個計費 token、跨越 440 個 Codex 會話的 99 份憑據,以及 401 個已在自主 YOLO 模式下運行的會話。
研究團隊構建了一個名為 Mine 的研究性代理,可對四種公開代理框架實施全部四類攻擊,並驗證了三種用戶端防禦手段:故障閉鎖策略閘控、回應端異常篩查以及僅追加透明日誌記錄。
免責聲明:本頁面資訊可能來自第三方,不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考,不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證,對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為,價格波動劇烈,您可能損失全部投資本金。請充分了解相關風險,並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見聲明。
相關文章
留言
0/400
秋子意666
· 04-10 06:58
堅定HODL💎