蓝点网
·
新论文揭示API中转站的恶意行为:注入恶意代码甚至窃取用户的ETH钱包密钥
💡
原文中文,约1300字,阅读约需3分钟。
📝
内容提要
研究团队分析API中转站的安全性,发现多个付费和免费中转站存在注入恶意代码和窃取用户凭证的风险。测试结果显示,1个付费和8个免费中转站注入恶意代码,17个触碰了诱饵凭证,甚至窃取了以太坊资金。研究呼吁加强安全措施以保护用户隐私。
🎯
关键要点
- 研究团队分析API中转站的安全性,发现多个中转站存在注入恶意代码和窃取用户凭证的风险。
- 测试结果显示,1个付费和8个免费中转站主动注入恶意代码,17个中转站触碰了诱饵凭证,甚至窃取了以太坊资金。
- API中转站通常缺乏完整的链路加密,导致中间层可以窃取用户私密信息。
- 现有的TLS仅支持逐跳加密,路由层在明文JSON载荷层拥有完整访问权限。
- 研究团队将中间人攻击概括为最弱链原则,任何不安全的路由都会导致整个链条的完整性失效。
- 研究团队对28个付费和400个免费中转站进行评测,结果显示多个中转站存在安全隐患。
- 研究团队故意将API密钥泄露到公开论坛,相关密钥被立即使用,消耗大量tokens。
- 研究团队呼吁加强安全措施,指出API中转站已成为LLM供应链中最脆弱的环节之一。
- 建议LLM提供商部署签名响应信封,开发者在高位工具中强制沙箱和策略门。
- 社区应建立API中转站信誉评估机制,以避免免费午餐带来的隐私风险。
❓
延伸问答
API中转站存在哪些安全隐患?
API中转站存在注入恶意代码和窃取用户凭证的风险,尤其是缺乏完整的链路加密。
研究团队对中转站的测试结果如何?
测试显示1个付费和8个免费中转站主动注入恶意代码,17个中转站触碰了诱饵凭证,甚至窃取了以太坊资金。
为什么API中转站被认为是LLM供应链中最脆弱的环节?
因为API中转站缺乏端到端的完整性保护,容易受到中间人攻击,导致整个链条的安全性失效。
研究团队建议如何加强API中转站的安全性?
建议LLM提供商部署签名响应信封,并在高位工具中强制沙箱和策略门,建立信誉评估机制。
现有的TLS加密存在哪些局限性?
现有的TLS仅支持逐跳加密,路由层在明文JSON载荷层拥有完整访问权限,无法提供端到端的保护。
研究团队如何验证API密钥的安全性?
研究团队故意将API密钥泄露到公开论坛,结果相关密钥被立即使用,消耗大量tokens。
➡️
