1. 研究实测28个付费路由与400个免费路由:AI中转站藏着多少秘密
API中转站的价格优势背后,隐藏着难以忽视的安全风险。一份发布在arXiv上的研究(编号2604.08407)对市面主流中转服务进行了系统性检测,在28个付费路由和400个免费路由中发现1个付费路由、8个免费路由存在主动注入恶意代码的行为。更严重的是,测试过程中研究者的AWS凭据被部分路由访问,ETH私钥甚至在实际测试中遭到转移。 理论上,中转站能够完整读取用户的明文请求内容,包括system prompt、API key、tool call参数以及代码执行指令。这不仅意味着知识产权和业务逻辑的暴露,更为恶意操作提供了空间。具体风险包括:用廉价模型冒充高价模型以次充好、截断长上下文却按完整token计费、伪造流式输出或usage统...