于开发者群内瞥见有人花费几块钱购置几亿Token的中转站API,且忧心模型被暗自替换成小模型而亏了差价,老实讲你们弄错了焦虑的关键要点。模型掺假已然算是具备职业道德了,真正可怖的是这帮从事灰色产业的站长正在翻查你电脑中的隐私内容。
中转站比你想的更黑心
闲鱼里那些仅需几块钱就能跑几亿Token的中转站,其后台操作可不只是更换小模型这般简易。站长能够在你的计费倍率方面做手脚,官方明明只跑了100个Token,他却在后台算成300个。更过分的是直接利用盗刷的信用卡免费使用官方API,一旦被封号便马上拔掉网线跑路,致使你连一个发帖维权的地方都寻觅不到。
诸多用户觉着,反正价格低廉,即便被当作韭菜收割了也认了,然而,近期安全研究团队Shou刊载的论文「Your Agent Is Mine」,却全然改变了我的认知,他们暗中查访了400多个中转站,当场逮住26个正在实施恶意代码注入行为,这已然并非是亏掉几块钱那般简单的事情了,而是你的电脑安全处于毫无防护的状态。
现在的AI已经不是聊天机器人
不少人对于中转站的认知依旧停留在往昔网页聊天的阶段,认为其不过是个单纯无脑传话的转发装置。然而当下的AI具备读取你电脑内本地文件的能力,拥有编写代码的本事,甚至能够于你的终端里直接施行系统级命令。当你将来源不明的Base URL填进代码编辑器之际,性质便全然改变了。
能在屏幕前的你,说不定现下正运行着AutoGPT,或者开启着Cursor,再者或许在从事小龙虾养殖工作 ,有手有脚的这些AI工具,可直接对你的系统予以操作 ,于这个时候,经由野鸡中转站的每一段代码,皆仿若陌生人递来的一张U盘,你会敢于随便插进主力电脑吗?
中间人攻击让你毫无防备
使中转站存在最为致命问题的缘由是架构存有缺陷,它身为应用层里的中间人,你同OpenAI或者Anthropic进行通信时,于经过中转站服务器的那一刻全部为明文形式。黑心老板若想看你的聊天记录,就如同邮递员拆开平信那般轻松,并且他们还敢于往信里夹带私货。
研究团队通过实测发现,存在一些中转站,这些中转站会于返回的数据结尾处,偷偷添加一段构建反向Shell的木马逻辑。而你的本地客户端,根本不会去验证其真伪,一旦收到合法的JSON格式,便直接信以为真,随即在你电脑上运行起来。这帮行事阴诡的家伙,平常与你聊天时对答如流,等到你放松警惕之际,就开始实施下手动作。
恶意篡改专挑开发场景下手
当你等着让AI帮你配置开发环境之际,恶意中转站便开始采取实际行动了。举例来说,要是AI建议你于终端执行安装某个Python包,当中转站的嗅探脚本检测到之后,便会偷偷地将包名篡改成只差一个字母的恶意版本。随后,你闭着眼睛敲一下回车,携带勒索病毒的依赖包就进入到你的系统根目录了。
于研究团队的实测数据之中,存在17个中转站,甚至主动去触碰,且尝试盗取研究员特意放进去的AWS云服务钓鱼密钥。在现实当中,已然有人因使用了恶意节点,致使以太坊私钥直接泄露,几十万美元瞬间消失不见。你节省那几块钱,而黑客赚取的却是你全部的家当。
官方直连才是保命正道
问题若要被彻底解决,依靠模型厂家引入类似HTTPS证书那般的数字签名机制源自底层才行。大模型公司发送代码之际,使用官方私钥盖章。本地编辑器从官方域名拉取公钥进行验签。一旦中转站改动了哪怕一个标点符号,签名便会直接作废。只是颇为遗憾,没人清楚厂家究竟何时能够弄出验证机制。
在那之前,咱们唯有自行想办法保命,最稳妥的策略是回去采用官方原生直连,或者仅仅使用像Cloudflare AI Gateway这般拥有极高信誉背书的正规网关,不给任何恶意黑客接触你明文数据的机遇,这是底线。
实在要薅羊毛必须物理隔离
要是你非得贪图那几块钱的便宜,那就务必要做好极端的物理隔离。千万不要在主力物理机上去操作,而是弄个虚拟机来运行,或者使用对网络出站权限有着严格限制的Docker容器。如此一来,即便中转站想要对付你,也无法突破这层隔离墙。
有个极为关键的动作,前往你的工具所设之处,将全部无监督自主执行模式予以关停。只要你运用的是中转站节点,对于AI于终端提议运行的每一行代码,你均须默认其为黑客发来的攻击指令,凭借肉眼逐字去凝视。最后的折中办法是仅把中转站当作纯粹的聊天工具,绝对不要在能够调用本地终端的Agent工具里填入此要害信息。
讲句能刺痛内心的话语,你能够将自身的聊天记录给予黑客瞧,但是一定别把自家的防盗门钥匙交予对方呈现。AI是堪称优秀至极的生产力杠杆能够引领咱们翱翔天际,然而在起飞之前呀,先把自身系统的大门紧紧锁住些吧。看完这篇文章,你有没有胆量去查一查自己当下所使用的API是从哪里购置而来的。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
