一项由加州大学科研团队主导的研究揭示,多个第三方人工智能路由服务存在深层安全缺陷,已导致至少26个平台被攻破并植入恶意代码,进而造成敏感凭证泄露。
研究指出,这些路由服务在数据传输过程中终止加密连接,使得所有通信内容以明文形式暴露于其系统之中,包括私钥、助记词及身份验证信息。
研究人员强调,当前许多开发者在使用Claude Code等工具进行智能合约或钱包开发时,可能无意中将关键密钥经由不可信的中间节点传输,而缺乏有效识别机制。
调查覆盖了28家商业路由平台及400个开源替代方案,发现9个平台主动注入恶意指令,2个采用隐蔽规避手段,另有17个试图窃取研究人员控制的身份凭据。
其中一次实验显示,一个被攻陷的路由服务成功从测试钱包中提取以太币,损失金额低于50美元,但足以证明攻击可行性。
研究聚焦于一种名为“YOLO模式”的配置选项,该功能允许人工智能系统在未获用户确认的情况下自动执行操作。
一旦路由服务被劫持并注入恶意指令,此模式将使攻击行为完全绕过人工干预,形成无感知渗透。
为应对这一威胁,研究团队建议开发者严禁通过任何AI代理环境传递私钥或助记词,并部署严格的本地安全策略。
同时提出,应由人工智能服务提供商对输出内容实施加密签名机制,以便开发者能够验证指令来源的真实性,防止伪造或篡改。
研究团队提醒,当前行业普遍将LLM API路由视为可信节点,然而其实际处于关键安全边界,亟需重新评估信任模型。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.