Solayer 创始人示警：AI 代理路由器存在恶意注入风险，ETH 遭窃

Solayer 创始人 @Fried_rice 于 4 月 10 日在社交媒体发文，揭示大型语言模型（LLM）代理广泛依赖的第三方 API 路由器存在系统性安全漏洞。研究测试覆盖 428 个路由器，发现逾 20% 存在不同程度的恶意行为或安全风险，其中一个已从研究员持有的私钥中实际窃取 ETH。

研究方法与核心发现：428 个路由器的安全测试

研究团队测试了从淘宝、闲鱼及 Shopify 独立站采购的 28 个付费路由器，以及从公开社群收集的 400 个免费路由器。测试方式是在路由器中植入包含 AWS Canary 凭证及加密货币私钥的诱饵，追踪哪些路由器会主动访问或滥用这些敏感信息。

测试结果的关键数据

主动恶意注入：1 个付费路由器及 8 个免费路由器正在主动植入恶意代码

自适应规避机制：2 个路由器部署了能够绕过基本检测的自适应触发器

凭证异常访问：17 个路由器触及研究员持有的 AWS Canary 凭证

实际资产窃取：1 个路由器从研究员的私钥中成功窃取 ETH

两项投毒后续研究进一步显示风险规模。一个泄露的 OpenAI 金钥被用于生成 1 亿个 GPT-5.4 Token 及逾 7 个 Codex 会话；而配置较弱的诱饵则诱发了 20 亿个计费 Token、跨越 440 个 Codex 会话的 99 份凭据，以及 401 个已在自主 YOLO 模式下运行的代理会话。

防御框架：Mine 代理验证的三种客户端保护机制

研究团队构建了名为 Mine 的研究性代理，能够对四种公开代理框架实施全部四类攻击，并验证了三种有效的客户端防御方案：

故障闭锁策略门控在代理侦测到异常行为时限制其自主执行范围，防止被恶意路由器操控的代理扩大损害。响应端异常筛查在客户端对路由器返回的内容进行独立验证，识别被篡改的输出。仅追加透明日志记录（Append-only Transparent Logging） 则建立不可篡改的操作审计轨迹，使异常行为可事后追溯。

研究核心论点是：当前 LLM 路由器生态缺乏标准化的加密完整性保护，开发者不应依赖供应商自律，而应在客户端层面建立独立的完整性验证机制。

Solayer 的生态背景：infiniSVM 与 3,500 万美元生态基金

本次安全研究的披露背景下，Solayer 于今年 1 月已宣布设立 3,500 万美元生态系统基金，支持基于 infiniSVM 网络的早期及成长阶段项目。infiniSVM 是一条与 Solana 工具相兼容的 Layer-1 区块链，已展示超过每秒 33 万笔交易（TPS）的吞吐量及约 400 毫秒的最终确认时间。基金重点支持 DeFi、支付、AI 驱动系统及代币化现实世界资产（RWA）项目，以协议收入及实际交易量作为成功衡量标准。

常见问题

LLM 路由器的恶意注入为何难以被使用者察觉？

LLM API 路由器作为应用层代理运行，能够以明文形式访问传输中的 JSON 负载，而目前业界无任何标准要求在客户端与上游模型之间强制执行加密完整性验证。恶意路由器可在转发请求的同时窃取凭证或植入恶意指令，整个过程对终端用户完全透明不可见。

YOLO 模式代理会话为何是高风险场景？

YOLO 模式指 AI 代理在无人监督的情况下自主执行操作。研究发现 401 个已在此模式下运行的会话，意味着一旦代理被恶意路由器控制，其自主执行能力将被攻击者利用，潜在危害远超单纯的凭证窃取，可能引发连锁性的自动化恶意操作。

开发者如何防范 LLM 路由器供应链攻击？

研究团队建议采用三层防御架构：部署故障闭锁策略门控限制代理自主执行范围、启用响应端异常筛查以侦测被篡改输出，以及建立仅追加透明日志记录（Append-only Transparent Logging）以确保操作可追溯。核心原则是不依赖路由器供应商自律，而在客户端建立独立的完整性验证层。