蓝点网
·
新论文揭示API中转站的恶意行为:注入恶意代码甚至窃取用户的ETH钱包密钥
内容提要
研究团队分析API中转站的安全性,发现多个付费和免费中转站存在注入恶意代码和窃取用户凭证的风险。测试结果显示,1个付费和8个免费中转站注入恶意代码,17个触碰了诱饵凭证,甚至窃取了以太坊资金。研究呼吁加强安全措施以保护用户隐私。
关键要点
-
研究团队分析API中转站的安全性,发现多个中转站存在注入恶意代码和窃取用户凭证的风险。
-
测试结果显示,1个付费和8个免费中转站主动注入恶意代码,17个中转站触碰了诱饵凭证,甚至窃取了以太坊资金。
-
API中转站通常缺乏完整的链路加密,导致中间层可以窃取用户私密信息。
-
现有的TLS仅支持逐跳加密,路由层在明文JSON载荷层拥有完整访问权限。
-
研究团队将中间人攻击概括为最弱链原则,任何不安全的路由都会导致整个链条的完整性失效。
-
研究团队对28个付费和400个免费中转站进行评测,结果显示多个中转站存在安全隐患。
-
研究团队故意将API密钥泄露到公开论坛,相关密钥被立即使用,消耗大量tokens。
-
研究团队呼吁加强安全措施,指出API中转站已成为LLM供应链中最脆弱的环节之一。
-
建议LLM提供商部署签名响应信封,开发者在高位工具中强制沙箱和策略门。
-
社区应建立API中转站信誉评估机制,以避免免费午餐带来的隐私风险。
延伸问答
API中转站存在哪些安全隐患?
研究发现多个付费和免费中转站存在注入恶意代码和窃取用户凭证的风险。
研究团队对中转站的测试结果如何?
测试显示1个付费和8个免费中转站主动注入恶意代码,17个中转站触碰了诱饵凭证,甚至窃取了以太坊资金。
为什么API中转站容易被攻击?
API中转站通常缺乏完整的链路加密,导致中间层可以窃取用户私密信息。
研究团队如何评估API中转站的安全性?
研究团队对28个付费和400个免费中转站进行了全面评测,发现多个中转站存在安全隐患。
研究团队对API中转站的建议是什么?
研究团队呼吁加强安全措施,建议LLM提供商部署签名响应信封,并建立API中转站信誉评估机制。
中转站的中间人攻击是如何发生的?
由于现有的TLS仅支持逐跳加密,路由层在明文JSON载荷层拥有完整访问权限,导致中间人攻击的发生。
