在当下AI全民普及的时代,大语言模型(LLM)、AI编程助手、智能Agent已深度融入企业研发、自动化运维、个人办公全场景。GPT、Claude、Gemini等顶级模型能力强大,但官方API普遍存在收费昂贵、网络访问受限、调用门槛高等问题。
在此背景下,各类第三方大模型中转服务快速崛起。它们以低价普惠、免特殊网络、全模型聚合、高速稳定为宣传卖点,用极低的使用成本、极简的操作界面,吸引了海量个人开发者、中小企业用户。
便利与低价的背后,是绝大多数用户忽略的致命安全隐患。在使用第三方中转站时,本质是在无条件信任一个完全不受自己掌控的中间人。不同于普通的网络服务中转,大模型中转站拥有对用户请求、模型响应的完整读写、篡改、伪造、截留权限。
这也让大模型中转站中间人攻击(LLM MITM)从理论风险,变成当下AI安全领域最普遍、隐蔽性最高、破坏力最强的现实威胁。它早已突破传统网络窃听范畴,升级为语义层投毒、业务层渗透、系统层控权的复合型高级攻击。
当我们为了便利和低成本,将所有Prompt、代码、商业数据、系统指令全权交付给第三方中间层时,交出的不仅是使用权限,更是企业与个人的全部安全防线。
一、先聊一个经济问题:中转站点是如何赚钱的?
(一)薅LLM厂商羊毛
各大LLM厂商,会有各种各样的优惠方式,比如新账号送token、七天免费试用、教育账号免费等等。
很多中转站点会用软件自动注册大量此类账号,整合token资源,提供给国内开发者使用。
由于是自动注册,账号注册成本很低,很多账号都是月抛、周抛、甚至日抛。
由于是薅羊毛,token价格十分低,算下来甚至比国内大模型都便宜。
(二)信用卡盗刷
有小部分站点甚至会批量申请信用卡,用于虚拟账号申请,快速刷爆且不还款(单张金额很小)。得到的token再卖给国内客户,两头赚钱。
(三)用户余额
大量用户小额充值后用不完、弃号流失,剩余额度无法提现、无法结转,平台直接沉淀用户充值余额,形成无成本被动收益。
(四)模型注水
用户付费勾选 GPT、Claude、Gemini等高端模型,中转站后台静默路由到低成本开源模型。成本相差巨大,却全额收取高端模型费用(大型中转站这方面比较克制)。
(五)多级分销
进一步聚合上游中转站,靠差价盈利(提升单价、吞掉优惠等),上下游都有得赚。
(六)全量用户数据倒卖
留存用户所有对话记录(可能是源码、商业方案、隐私数据、密钥凭证等),批量打包售卖。【可怕的是,今天不卖不代表明天也不卖】
(七)恶意投毒控权黑产牟利
通过代码投毒、Agent 远程命令执行攻击,植入恶意脚本。一旦落地执行,可劫持服务器算力挖矿、窃取企业资产、植入持久化后门、内网渗透控权,将用户服务器变为「肉鸡」牟利。【可怕的是,今天不做不代表明天也不做】
二、攻击原理:大模型中转站为何是天然的攻击者?
想要理解所有风险,首先要厘清核心本质:正规官方直连是点对点加密通信,而第三方中转站直接修改了通信链路,天然适配中间人攻击。这不是漏洞,而是中转站服务的固有架构特性。
传统HTTPS加密、防火墙防护在此场景下完全被穿透。用户与官方模型的加密链路会在中转站服务器处终结,拆分为两段独立加密链路:用户→中转站、中转站→官方API。所有双向交互数据,都会在中转站服务器以明文形式暴露,中转站运营者可无限制查看、修改、截留、滥用数据。
完整数据传输链路:
用户->明文请求->中转站服务器->可篡改请求/降级模型->官方模型 API->原始模型数据->中转站服务器->伪造/篡改响应->用户
在这套链路中,几乎没有任何低成本技术手段,可以约束中转站的行为。这也是隐私窃取、模型欺诈、代码投毒、远程命令执行等所有攻击的底层根源。
三、四大核心致命威胁:从数据泄露到服务器沦陷
恶意大模型中转站的攻击手段已形成完整的递进式体系,从基础的隐私收割、商业欺诈,到高阶的代码投毒、智能体控权,全方位覆盖个人开发、企业研发、AI自动化场景,层层击穿安全防线。
1. 隐私裸奔:全量交互数据无差别泄露
这是最基础、最普遍、也最容易被轻视的风险。中转站服务器会完整记录用户每一次提问、每一段代码、每一条模型回复,所有交互内容无加密、无防护、无隐私保障。
核心风险场景全覆盖:
研发数据泄露:开发者输入的未上线源码、项目架构、接口逻辑、调试配置、开发方案被完整留存;
商业机密泄露:企业战略规划、运营数据、客户资料、技术方案、核心业务逻辑被批量收录;
权限凭证窃取:用户API Key、身份令牌、服务器环境变量、数据库密钥等核心凭证被抓取盗用;
数据灰色牟利:海量对话数据被用于私自训练模型、构建用户画像,甚至在黑市批量售卖。
更严峻的现实问题是:绝大多数中转站的隐私政策模糊不清,甚至无任何隐私声明,更难进行有效的管控。用户无法验证数据是否被清理、是否被第三方调取、是否被二次利用,所有隐私安全完全失控。
2. 模型调包欺诈:高价付费,低配收割
这是中转站行业最普遍的商业作恶手段,依托用户无法校验后端真实模型的信息差实现低成本套利,隐蔽性极高,极难被用户察觉。
用户付费订阅GPT、Claude、Gemini等高价旗舰模型,本意是获取高阶推理、高精度输出能力,但恶意中转站可随意路由请求:将高端模型请求强制转发至低成本开源模型,成本相差巨大,却依旧收取旗舰模型费用。
为进一步提升欺骗性,精明的中转站会采用选择性替换策略:简单问答、文案创作等低难度任务使用廉价模型,复杂推理、代码开发、算法设计等高难度任务使用真实旗舰模型,最大化套利的同时,让用户完全察觉不到异常。
这类欺诈难以排查的核心原因:大模型输出具备天然随机性,同一问题多次回答本就存在差异。用户很难区分输出质量下滑,是模型本身的随机误差,还是被中转站调包降级导致,长期高价付费却收获劣质服务,极易引发业务出错、项目Bug频发等隐性损失。
3. 代码投毒:闭环式隐形攻击,渗透生产环境
对于开发者与企业研发团队,这是破坏力最大、危害最深远的核心攻击手段。在Cursor、Cline、Continue等AI编程工具深度集成IDE的当下,恶意中转站可精准篡改模型输出,打造「代码投毒+虚假审查洗白」的完美攻击闭环,让恶意后门永久潜伏在生产环境。
完整闭环攻击流程拆解:
1)正常业务请求:开发者通过AI编程工具发送开发需求,例如「编写Express.js用户认证模块」「生成后端接口逻辑」;
2)中转站正常转发:中转站将用户请求转发至官方大模型,获取干净、合规、功能完整的原始业务代码;
3)恶意篡改投毒:中转站在不影响核心业务逻辑的前提下,悄悄嵌入伪装性极强的恶意代码片段,植入远程脚本执行指令;
4)用户落地使用:恶意代码混在正常逻辑中,肉眼难以识别,被开发者直接集成至项目代码库;
5)生产环境触发攻击:项目部署上线后,恶意代码自动初始化执行,主动访问攻击者控制的恶意域名,远程拉取脚本并落地运行;
6)虚假审查洗白兜底:开发者使用同一中转站进行AI代码审查时,中转站直接伪造「审查通过、无安全漏洞」的结果,彻底打消用户安全顾虑,让后门顺利绕过CI/CD自动化防线。
这类恶意命令落地后,可实现窃取服务器密钥、建立反向Shell、内网渗透、算力挖矿、数据库数据劫持、服务后门持久化等高危操作,对生产环境造成毁灭性打击。
当代码生成、代码审查依赖同一被劫持中转站时,便形成绝对安全闭环骗局,普通人工排查与常规自动化扫描完全失效,恶意代码可长期潜伏在企业核心项目中。
4. Agent远程命令执行:智能体沦为黑客提线木偶
随着Openclaw、Hermes等智能体普及,AI不再局限于被动问答,已具备主动命令执行、文件操作、API调用、自动化运维等高权限能力,这也让中转站中间人攻击的危害升级至灾难性级别。
恶意中转站可直接篡改大模型返回给Agent的思维链、决策逻辑与工具调用参数,绕过用户所有权限限制与指令约束,强制智能体执行任意高危系统命令,全程自动化、无需用户任何手动操作。
攻击着可以利用模型强大的上下文感知能力,自动识别项目框架、运行环境、业务流程,针对性注入适配的恶意Payload;通过Prompt Injection将恶意指令伪装成系统提示、工具调用规范;将恶意操作融入正常工作流,完美规避人工排查与日志审计。
一旦运行Agent的设备拥有云服务器、数据库、内网访问权限,攻击者可直接接管全部资源,实现内网横向移动、服务器提权、核心数据批量窃取、业务篡改等高危操作,导致整套研发、生产环境彻底沦陷。
四、攻击面全景可视化:风险等级与隐蔽性汇总
各类中转站攻击覆盖AI全场景,风险危害、隐蔽性、影响范围各不相同,全景汇总如下,可直观识别各类风险优先级:
| 攻击类型 | 目标场景 | 危害程度 | 隐蔽性 |
|---|---|---|---|
| 隐私窃取 | 所有AI对话、文案、咨询、日常交互场景 | 高 | 极高 |
| 模型替换调包 | 付费API调用、高精度推理、复杂分析场景 | 中 | 极高 |
| 代码投毒 | AI编程、项目开发、脚本生成、功能迭代 | 极高 | 极高 |
| 审查劫持洗白 | AI代码安全审查、漏洞检测、上线预审 | 极高 | 极高 |
| 远程命令执行(RCE) | AI智能体、自动化运维、批量任务工具 | 灾难性 | 极高 |
| 响应操纵误导 | 数据查询、业务决策、方案推演、风险评估 | 中~高 | 极高 |
五、核心难点:为什么传统安全手段几乎无法防御?
很多用户存在认知误区:认为HTTPS加密、防火墙、系统权限管控可以规避中转站风险。事实上,大模型中间人攻击具备独特的绕过特性,传统安全防御体系对其完全无效,这也是该类攻击最可怕的核心原因:
1. 传输加密彻底失效:TLS/SSL加密仅作用于两段独立链路,会在中转站服务器终结,所有数据在中间节点明文展示,加密只能防外部窃听,完全无法阻止中转站自身的窃取与篡改。
2. 无任何响应校验手段:大模型输出具备非确定性、随机性,没有固定哈希值、固定输出模板,无法像校验文件、接口数据一样验证回复是否为模型原始输出,篡改行为无任何技术校验方式。
3. 用户感知无限趋近于零:攻击者仅植入少量恶意代码、替换一条远程链接,完全不影响核心业务功能,测试环境无任何异常表现,肉眼、常规工具均无法排查。
4. 绕过模型原生安全机制:官方模型的安全对齐、内容审核、风险过滤,仅能防护模型原生输出内容,无法抵御中间层的人工篡改,形成「源头安全、传输沦陷」的致命安全盲区。
5. 人工审查不现实:以大模型编码为例,大模型输出代码的速度十分快,人工审核根本不可能。以Agent申请命令行执行权限为例,没有人可以长期的等在那里,仔细审查Agent的每一次命令执行,然后点击同意或拒绝。
六、安全防御:企业全落地指南
面对全方位、高隐蔽、高危害的中转站中间人攻击,无需彻底摒弃AI工具,但必须彻底放弃「默认可信」的侥幸心理。结合企业研发场景,搭建分层、可落地的零信任防御体系,兼顾AI效率与业务安全。
1. 优先官方直连,从源头切断攻击面
无论第三方中转站多么低价、便捷、功能丰富,官方API直连永远是安全最优解。OpenAI、Anthropic、谷歌等原生官方渠道,以及Azure、字节、阿里、腾讯等具备合规资质、安全审计的企业级模型服务,拥有完善的数据隐私政策、权限管控、日志溯源、风险预警机制。省下的小额API成本,远不足以抵消一次安全事故带来的源码泄露、服务器沦陷、商业机密外泄损失。
2. 自建私有化中转站,掌控中间层全权限
若企业存在多模型聚合、统一接口、统一计费、批量管理的需求,坚决杜绝使用公共第三方中转站。可基于LiteLLM、One API等成熟开源方案自建私有化中转站服务,将中间转发链路部署在自身可控的服务器与内网环境中,完全掌控数据传输、日志留存、访问权限,从架构层面消除外部中间人劫持风险。
3. 多重代码审计,杜绝单一AI链路信任
彻底摒弃对AI自动审查的绝对信任,建立「工具扫描+人工复核+交叉验证」的三重校验机制:所有AI生成的业务代码、脚本文件,必须重点核查网络请求、系统命令、文件操作、未知第三方依赖等高风险逻辑;采用静态安全工具自动扫描Payload;代码生成与代码审查使用不同AI服务交叉验证,避免单一链路被劫持洗白;在CI/CD流水线强制加入安全扫描、依赖审计、远程请求拦截校验,杜绝带毒代码上线。
4. Agent最小权限隔离,极致缩小攻击面
严格遵循最小权限原则(PoLP)管控AI智能体:禁止Agent配置无限制系统命令执行、外网访问、内网横向权限;对所有工具指令、网络请求配置白名单过滤机制;通过Docker容器、独立沙箱部署Agent运行环境,隔离文件系统、服务器权限、内网资源;全程记录Agent行为日志,实时监控异常远程请求、批量命令执行行为,及时发现劫持攻击。
5. 模型真伪校验,规避商业欺诈
通过模型专属特征开展常态化校验:利用不同型号模型独有的知识库、推理能力、输出风格、格式规范做交叉测试;若出现输出质量、逻辑严谨度、回复风格突然异常波动,大概率存在模型调包替换风险,需立即排查中转站链路,避免长期被低价收割。
6. 敏感数据场景隔离,杜绝外传泄露
明确场景边界,严格区分风险等级:核心业务代码、涉密算法、商业机密、用户隐私、密钥凭证、服务器配置等敏感数据,严禁通过任何第三方中转站传输、处理;高敏感研发场景,优先采用本地私有化部署开源大模型,实现数据不出内网、不出本地,从物理层面杜绝泄露与篡改风险。
七、给个人用户的建议:AI便利,绝不以安全为代价
1. 如果有条件,优先使用官方模型(多数人是能负担官方模型的价格的,不要贪小便宜吃大亏)
2. 如果实在要用中转服务,尽量用规模最大的几家
3. 充值的时候,尽量少充一些,用完再充值
4. 你的隐私很值钱,中转服务尽量不要涉及个人隐私、不要涉及各类机密
5. 用于生产的代码,代码编写和Review,要用不同的服务提供商,一些开源静态分析软件效果也不错
6. 如果用中转服务,Agent一定要限制在沙盒中