BlockBeats 消息:4月10日,Solayer 核心团队 @Fried_rice 揭露,各大语言模型因依赖第三方 API 路由器,会开通跨上游提供商的工具接口。这种设计使 JSON 流进行明文解析,但目前用户未必拥有加密保障。
研究团队全面测试了来自淘宝、闲鱼、Shopify 独立站及公开社区的 28 款付费路由器与 400 个免费路由器。结果显示,有 1 个付费路由器和 8 个免费路由器存在恶意代码注入(包括自适应规避触发器),17 个会触碰研究人员持有的 AWS Canary 凭证;1 个从研究人员手中获取私钥,盗取了 ETH。
进一步实验显示,普通路由器同样可被攻击:一份泄露的 OpenAI 密钥生成 1 亿条 GPT-5.4 token及多次 Codex 访问;一款配置弱的诱饵工具产生 20 亿计费 token、跨越 440 会话的 99 份凭据,以及 401 起专属 YOLO 模式的会话。
研究团队开发了 Mine 研究代理,用于针对四大公开代理框架进行全套攻击,并验证了三种客户端防御策略:门控机制、异常筛查及透明日志追加。
[图:BlockBeats 官方通讯](http://service.weibo.com/share/share.php?url=https://m.theblockbeats.info/flash/187884&sharesource=weibo&title=Solayer%E5%88%9B%E5%A7%8B%E4%BA%BA%E6%8F%AD%E7%A4%BALLM%E4%BE%9B%E5%BA%94%E9%93%BE%E9%87%8D%E5%A4%A7%E5%AE%89%E5%85%A8%E9%9A%90%E6%82%A3%EF%BC%9A%E8%B6%8520%%E5%85%8D%E8%B4%B9%E8%B7%AF%E7%94%B1%E8%A2%AB%E6%9B%9D%E6%81%B6%E6%84%8F%E6%B3%A8%E5%85%A5&pic=https://image.blockbeats.cn/other/mob/favlogo.png&appkey=1533649352)
原创文章,作者:admin,如若转载,请注明出处:https://www.23btc.com/169518/
