AI路由漏洞致加密资产外泄，研究揭示重大安全风险

核心提要：加州大学研究团队发现26个第三方AI路由服务存在严重漏洞，可窃取私钥与助记词。其中“YOLO模式”使恶意指令自动执行，导致以太币被非法提取。专家呼吁禁止在AI开发环境中传输敏感凭证。

AI中间件安全缺陷暴露加密资产风险

一项由加州大学主导的学术研究揭示，多个第三方人工智能路由平台存在深层安全隐患，其架构设计允许未加密访问所有传输数据，致使私钥与助记词等核心凭证面临被窃取的风险。

恶意中介攻击暴露系统性风险

研究人员分析了28个商业级及400个开源免费的AI路由服务，发现其中9个主动植入恶意代码，2个采用隐蔽规避手段，另有17个尝试盗取测试环境中的身份验证信息。一个受控钱包在特定案例中被成功提取以太币，损失金额低于50美元。

关键防护机制缺失亟待修复

当前多数路由平台在通信链路中终止加密连接，造成全链路明文可见，使得开发者难以识别正常操作与实际窃密行为之间的界限。该现象在使用Claude Code等工具进行智能合约或钱包开发时尤为危险。

自主执行功能放大威胁层级

研究指出，“YOLO模式”作为部分代理平台的默认配置选项，允许人工智能系统在无用户授权的情况下直接执行指令。一旦该模式被恶意利用，攻击者即可绕过所有人工审查环节，实现自动化攻击。

构建可信输出验证体系迫在眉睫

研究团队建议，应强制要求人工智能服务提供商对其输出内容添加数字签名，确保开发者可验证指令来源的真实性。同时，必须建立严格策略，严禁在任何AI辅助开发环境中传递私钥或助记词。