Claude 代碼洩漏引爆 LLM 危機,駭客已盜取研究員 ETH
安全研究员于 4 月 10 日揭示 LLM 生态系统中一项系统性的供应链安全漏洞:在针对 428 个第三方 API 路由器的实测中,逾 20% 的免费路由器被发现正在主动注入恶意代码,其中一台路由器已成功从研究人员控制的私钥中窃取 ETH。
LLM 路由器供应链漏洞:研究数据揭露的系统性风险
社交媒体研究员 @Fried_rice 指出,LLM 代理生态系统中被广泛采用的第三方 API 路由器,实质上是在客户端与上游模型之间插入的应用层代理,能够以明文形式读取每一笔传输中的 JSON 载荷。核心问题在于,目前没有任何路由器提供商在客户端与上游模型之间强制执行加密完整性保护,使路由器成为供应链攻击的高价值介入点。
研究测试的四类关键发现
恶意代码主动注入:1 台付费路由器及 8 台免费路由器(逾 20%)正在对传输中的载荷主动注入恶意代码
自适应规避机制:2 台路由器部署了可动态逃避侦测的触发器,能够在安全审查时隐藏恶意行为
凭证主动探测:17 台路由器触碰了研究人员部署的 AWS Canary 凭证,显示存在主动的凭证窃取尝试
加密资产窃盗:1 台路由器从研究人员持有的私钥中窃取了 ETH,确认漏洞已可直接导致链上资产损失
投毒实验进一步揭示了漏洞规模:一个泄露的 OpenAI API 密钥被用于生成了 1 亿个 GPT-5.4 token;配置较弱的诱饵则产生了 20 亿个计费 token、跨越 440 个 Codex 会话的 99 份凭证,以及 401 个已在自主“YOLO 模式”下运行的会话。
Claude 代码泄漏:从人为疏失到黑客利用的攻击链
2026 年 3 月底,Claude 代码的 NPM 存储库中的 Java 原始码映射文件(Source Map File)意外公开,大量开发者随即下载并传播。Anthropic 承认确有内部源代码外流,起因为人为疏失。
然而,黑客迅速将这一事件转化为攻击向量。Zscaler 发现,攻击者以“Claude Code Leak”为名,在 GitHub 散布 ZIP 压缩包,声称内含基于泄漏源代码编译的、具备企业级功能且无消息限制的特殊版本 Claude 代码。若开发者依照指示执行,设备即会被植入窃资软件 Vidar 及代理服务器工具 GhostSocks。这一攻击链精准利用了开发者的好奇心与对官方泄漏事件的关注,是典型的社会工程学结合恶意软件的复合型攻击。
防御机制:研究验证的三层客户端保护手段
研究团队同时开发了名为 Mine 的研究性代理,验证了三种对客户端有效的防御机制:
故障闭锁策略门控(Circuit Breaker Policy Gating):侦测到路由器异常行为时自动切断连接,防止恶意指令传递
响应端异常筛查(Response-side Anomaly Screening):对路由器回传的响应进行完整性验证,识别被篡改的内容
仅追加透明日志记录(Append-only Transparent Logging):建立不可篡改的操作审计记录,用于事后追溯与分析
常见问题
什么是 LLM API 路由器,为什么其存在构成供应链安全风险?
LLM API 路由器是在 AI 应用程序与上游模型提供商之间充当代理的第三方服务,能够将工具调用请求分派给多个上游提供商。由于路由器可以明文读取所有传输中的 JSON 载荷,且目前缺乏端到端加密保护,恶意或被入侵的路由器可在用户不知情的情况下注入恶意代码、窃取 API 凭证或加密资产。
Claude 代码泄漏事件的起因是什么,为什么会被黑客利用?
Claude 代码泄漏起因在于 Anthropic 内部人员在 NPM 存储库中意外公开了 Java 原始码映射文件。泄漏事件引发广泛关注后,黑客借助开发者对泄漏内容的好奇心,在 GitHub 散布伪装成泄漏代码的恶意压缩包,成功引导目标用户主动安装恶意软件。
开发者如何在此类供应链攻击中保护自身安全?
关键防御措施包括:仅使用来自可信且有明确安全审计记录的路由器服务;拒绝从非官方渠道下载声称的“特殊版本”代码;在 API 凭证管理中落实最小权限原则;以及在 LLM 代理框架中启用响应端异常侦测机制,避免因路由器被入侵而导致链上资产损失。
相关文章