LLM Agent 供应链暴露新攻击面：第三方路由器成为“隐形中间人”

随着 Agent 架构成为大模型应用的主流形态，围绕 LLM 的“调用链条”正在迅速拉长。但最新研究显示，这条链路中的关键节点——第三方 API 路由器，正成为新的系统性风险源。

近期，（Solayer 创始人）发布的一项研究，对 LLM Agent 常用的 API 路由层进行了系统性安全测试。结果显示：在被测试的数百个路由服务中，超过 20% 的免费路由器存在不同程度的恶意或越权行为，其中部分已具备实际攻击能力。

这一发现，将 AI 工程社区长期忽视的“中间层基础设施安全”问题推至台前。

被忽视的组件：LLM 路由器为何成为风险放大器

在典型的 Agent 架构中，请求路径往往如下：

用户请求 → Agent（调度）→ Router（分发）→ 多个 LLM / 工具 API

其中，Router（路由器）承担了：

• 多模型分发（如 OpenAI / Claude / 自建模型）
• 成本优化（自动选择低价模型）
• fallback 机制（主模型失败时自动切换）

问题在于，这一层通常由第三方提供，并以“代理服务”的形式存在。这意味着：

路由器可以直接访问未经加密的请求与响应数据（JSON payload）

也就是说，它具备“全量可见 + 可修改”的能力，却往往不在开发者的安全审计范围内。

实测结果：从凭证触碰到主动攻击

研究团队对 28 个付费路由器与约 400 个免费路由器进行了测试，重点观察其对敏感数据的处理行为，包括 API Key、私钥、云凭证等。

核心发现包括：

• 1 个付费路由器、8 个免费路由器存在主动注入恶意代码行为
• 17 个路由器尝试访问或处理 AWS 凭证信息
• 部分路由器成功提取测试环境中的加密资产（如 ETH 私钥）

这意味着风险已经从“潜在泄露”升级为“可执行攻击”。

更关键的是，这类攻击具备高度隐蔽性：

• 修改响应内容（例如插入恶意指令）
• 劫持工具调用（如篡改 function calling 参数）
• 注入 prompt（影响 Agent 决策路径）

在 Agent 系统中，这些行为可能进一步被放大为自动化攻击链条。

攻击路径拆解：LLM 应用如何被“接管”

研究团队通过构建一个名为 Mine 的代理系统，复现了四类典型攻击路径：

1. 凭证窃取 → 资源滥用

攻击者获取 API Key 或云凭证后，可：

• 生成海量 token 请求，消耗账户额度
• 触发计费攻击（billing attack）
• 调用高权限接口

2. 响应篡改 → Agent 行为劫持

通过修改 LLM 返回内容：

• 注入额外指令（prompt injection）
• 引导 Agent 调用非预期工具
• 改变决策路径

3. 工具链污染 → 执行恶意操作

在 function calling / tool use 场景中：

• 篡改参数
• 替换调用目标
• 注入后门逻辑

4. 密钥扩散 → 横向渗透

一旦获取某个服务密钥：

• 可进一步访问内部系统
• 扩展攻击范围
• 实现长期潜伏

根本问题：LLM 调用链缺乏“端到端信任”

这些问题的本质，在于当前 LLM 应用栈缺乏类似 HTTPS 的端到端安全机制：

• 请求通常以明文 JSON 形式传输
• 中间节点（Router / Proxy）可完全读取和修改内容
• 缺乏签名验证与完整性校验

换句话说：

当前的 LLM 调用链，本质上仍停留在“默认信任中间层”的阶段

这与传统互联网早期未加密通信的风险高度相似。

防御思路：从“信任第三方”转向“零信任架构”

针对上述问题，研究提出了多层防御策略，其核心思路是将 AI 调用链纳入安全工程体系。

1. 故障闭锁（Fail-close）策略

当检测到异常响应时：

• 拒绝执行
• 阻断调用链

避免错误结果被继续放大。

2. 响应完整性校验

对 LLM 返回结果进行：

• 签名验证
• 模式匹配（schema validation）
• 异常检测（如敏感字段）

3. 最小权限原则

限制 API Key 权限范围：

• 按服务隔离
• 设置调用额度与速率限制
• 避免高权限密钥暴露

4. 自建或可信 Router

尽量避免使用未经审计的免费路由服务：

• 使用自托管代理
• 或选择具备安全审计的供应商

对 AI 工程生态的启示：供应链安全成为新主战场

这项研究释放了一个明确信号：

LLM 安全问题，正在从“模型输出风险”转向“系统供应链风险”

在过去，社区更多关注：

• hallucination
• prompt injection
• alignment

但随着 Agent 架构普及，真正的攻击面正在外移：

• API 路由层
• 工具调用层
• 多服务编排链路

这与云原生时代的演进路径类似——系统越模块化，供应链攻击面越大。

结语：Agent 时代，安全不再只是模型问题

当 LLM 被嵌入复杂系统并具备执行能力后，其安全边界已经不再局限于模型本身，而扩展到整个调用链条。

第三方路由器的风险，本质上是一个信号：

• AI 应用正在进入“工程复杂性阶段”
• 安全问题必须前移到架构设计层
• 零信任将成为默认范式

对于开发者而言，一个现实的问题是：

你是否清楚自己的 Agent 请求，究竟经过了哪些“看不见的中间人”？

在这个问题被彻底解决之前，LLM 应用的规模化落地，仍将面临隐形但致命的阻力。