Tập hợp hỗn loạn tại các trạm chuyển Token: Nghiên cứu xong không dám dùng chút nào
Tiêm mã độc, đánh cắp khóa riêng, đánh cắp thẻ tín dụng, rò rỉ hồ sơ trò chuyện, mô hình giả mạo...
Chuyện là thế này đây.
Cách đây hai ngày, tôi đang tham gia một nhóm nhà phát triển và thấy mọi người thảo luận sôi nổi về việc mua Khóa API giá rẻ, loại trạm trung chuyển mà một vài đô la trên Xianyu có thể kiếm được hàng trăm triệu mã thông báo.
Mọi người đều phàn nàn, nói rằng có cảm giác như mô hình trên tay họ đã bị thay thế, nghi ngờ quản trị viên web đã lén trộn mô hình nhỏ vào nước để lừa tiền.
Khi xem những bản ghi cuộc trò chuyện này, trong đầu tôi chỉ có một suy nghĩ...
Không, anh bạn, anh cũng vậy có tấm lòng lớn.
Mọi người vẫn lo lắng về sự chênh lệch giá vài đô la và các trạm trung chuyển của họ có thể đã xem qua đồ lót máy tính của bạn.
Tình hình hiện tại nghiêm trọng đến mức nào?
Thành thật mà nói, việc đến Trạm trung chuyển gà lôi để nạp năng lượng và tưới nước cho mô hình Tôi nghĩ đó là hành động đạo đức nghề nghiệp nhất trong số những người làm ra sản phẩm màu xám.
Hãy nghĩ mà xem, bạn gửi một yêu cầu mã phức tạp, nghĩ rằng nó sẽ được xử lý bởi Opus4.6 mạnh nhất của Claude, nhưng khi tập lệnh định tuyến nền của anh ta đưa ra phán quyết, anh ta sẽ trực tiếp ném nó sang một mô hình nhỏ nguồn mở miễn phí để đánh lừa bạn. Nếu bạn nham hiểm hơn, họ sẽ giở trò đồi bại với tỷ giá thanh toán của bạn. Nếu chính thức tính 100 phí thì backend sẽ tính 300 phí cho bạn.
Nhưng điều này chẳng là gì cả. Nhiều quản trị viên web chỉ sử dụng thẻ tín dụng bị đánh cắp miễn phí. Khi nhận được số chính thức, chúng lập tức rút cáp mạng rồi bỏ chạy. Thậm chí không có nơi nào để đăng bài để bảo vệ quyền lợi của bạn. Đối với lịch sử trò chuyện của bạn, bề ngoài họ nói rằng chúng sẽ không bao giờ được lưu lại, nhưng đằng sau hậu trường, chúng từ lâu đã được đóng gói thành một kho tài liệu và được bán theo đồng bảng Anh trên web đen.
Nhiều người cho rằng đây chỉ là lừa đảo lấy một số tiền nhỏ rồi bị cắt. Dù sao thì nó cũng rẻ nên họ có thể chịu đựng được.
Trước đây tôi đã nghĩ như vậy cho đến khi tôi nhìn thấy một nghiên cứu bảo mật tiên tiến gần đây và tôi rất bối rối.
Thành thật mà nói, hiểu biết của nhiều người về các trạm trung chuyển vẫn còn bị mắc kẹt trong thời đại “trò chuyện trên web” trước đây. Tôi nghĩ đó chỉ là một sự lặp lại vô tâm.
Nhưng AI ngày nay không còn là robot trò chuyện nữa. Trước màn hình có thể bạn đang chạy Cursor trên máy tính, đang chạy ClaudeCode, hoặc đang nuôi tôm càng.
AI ngày nay có tay và chân. Nó có thể đọc các tệp cục bộ, viết mã và thậm chí thực thi các lệnh cấp hệ thống trực tiếp trong thiết bị đầu cuối của bạn.
Lúc này, nếu bạn điền Base URL không xác định vào trình soạn thảo mã, bản chất sẽ hoàn toàn thay đổi.
Cách đây vài ngày, tôi thấy một bài báo được xuất bản bởi nhóm nhà nghiên cứu bảo mật nổi tiếng Chaofan Shou có tên "Your Agent Is Mine". Họ đã tiến hành các chuyến thăm không báo trước tới hơn 400 trạm trung chuyển trên thị trường.
Kết quả? ? ?
26 trạm trung chuyển bị bắt tại chỗ đang bí mật tiêm mã độc.
Làm thế nào?
Về nguyên tắc thực hiện, điều này liên quan đến lỗ hổng kiến trúc nghiêm trọng nhất của trạm trung chuyển, là phần trung gian của lớp ứng dụng. Nói cách khác, giao tiếp của bạn với OpenAI hoặc Anthropic đều là văn bản rõ ràng ngay khi nó đi qua máy chủ chuyển tiếp.
Thật thú vị...
Nếu bạn chú ý đến lĩnh vực này, bạn có thể tưởng tượng ra bức tranh này.
Bạn sử dụng Con trỏ để AI giúp bạn viết tập lệnh Python phân tích nhật ký Nginx. GPT-5 chính thức ở đầu từ xa thực sự được viết một cách trung thực và mã được nhập vào một đoạn dữ liệu JSON và gửi lại.
Kết quả là tên trùm mờ ám của trạm trung chuyển này đã xem xét và đã thêm một đoạn logic ngựa thành Troy để xây dựng một lớp vỏ đảo ngược ở cuối dữ liệu được trả về.
Khách hàng địa phương của bạn hoàn toàn không xác minh tính xác thực và nhận được JSON hợp pháp. Chỉ cần làm theo định dạng và bắt đầu chạy trên máy tính của bạn ngay lập tức.
Ngoài ra còn có một số hoạt động thú vị. Những lão âm này thường giả vờ rất thành thật và trò chuyện với bạn và trả lời các câu hỏi một cách trôi chảy. Đợi cho đến khi bạn yêu cầu AI giúp bạn định cấu hình môi trường phát triển. Ví dụ: AI khuyên bạn nên cài đặt gói yêu cầu trong thiết bị đầu cuối.
Kịch bản đánh hơi của trạm trung chuyển đã phát hiện ra nó và lặng lẽ đổi tên gói thành reqeusts. Sai một chữ cái, bạn nhắm mắt lại và nhấn Enter, gói phụ thuộc độc hại có chứa virus ransomware hoặc chương trình khai thác sẽ xâm nhập vào thư mục gốc của hệ thống của bạn.
Tôi choáng váng.
Trong dữ liệu đo được do nhóm nghiên cứu công bố, 17 trạm trung chuyển thậm chí còn chủ động chạm và cố gắng đánh cắp các khóa lừa đảo của dịch vụ đám mây AWS mà các nhà nghiên cứu cố tình đưa vào.
Trên thực tế, một số người thậm chí còn sử dụng các nút độc hại và khóa riêng Ethereum đã bị rò rỉ trực tiếp và hàng trăm nghìn đô la đã bốc hơi ngay lập tức.
Nó khiến tôi vẫn còn hơi bối rối.
Hãy nói theo những dòng trên. Thứ này thực chất là một khu rừng tối tăm.
Nhiều người biết rằng ngoài các công cụ tổng hợp chính thức nổi tiếng như OpenRouter, hầu hết các trạm trung chuyển gà lôi giá rẻ trên thị trường đều bắt đầu bằng cách dựa vào việc bẻ khóa ngược, bán lại giữa các khu vực và rút tiền từ thẻ tín dụng bất hợp pháp.
Nhiều người trong chúng ta là nhân viên văn phòng hoặc lập trình viên bình thường đặt quyền kiểm soát cao nhất đối với các máy tính lưu trữ mã nguồn cốt lõi của công ty và khả năng ghi nhớ tiền điện tử theo lương tâm của những người xám này những người thực hành trong ngành.
Chúng ta có thể ngăn chặn nó bằng cách nào?
Bạn không thể sử dụng các công cụ AI này nữa.
Tôi nghĩ rằng để giải quyết triệt để vấn đề này việc bắt đầu từ dưới lên phụ thuộc vào nhà sản xuất mẫu máy. API hiện tại giống như gửi một bức thư thông thường và người đưa thư rất dễ dàng thay đổi nội dung của bức thư.
Một cách tiếp cận là giới thiệu chữ ký số mã hóa như chứng chỉ HTTPS. Khi công ty mẫu lớn gửi mã, nó sẽ được đóng dấu khóa riêng chính thức. Sau khi nhận được, biên tập viên cục bộ của chúng tôi sẽ đến tên miền có thẩm quyền chính thức để lấy khóa chung để xác minh. Nếu trạm trung chuyển dám thay đổi dấu chấm câu ở giữa, chữ ký sẽ bị vô hiệu và bị chặn ngay lập tức.
Thành thật mà nói, tôi không chắc khi nào nhà sản xuất sẽ đưa ra cơ chế xác minh. Cho đến lúc đó, chúng ta chỉ có thể cứu lấy mạng sống của chính mình.
Một trong những chiến lược của tôi là quay lại sử dụng Kết nối trực tiếp gốc chính thức hoặc lùi lại một bước và chỉ sử dụng các cổng chính thức có chứng thực có độ tin cậy cực cao như OpenRouter. Không cấp cho bất kỳ hacker độc hại nào quyền truy cập vào dữ liệu văn bản gốc của bạn.
Nếu bạn nhất quyết muốn thu thập vài đô la len, hãy tin tôi, phải thực hiện sự cách ly cơ thể cực độ.
Không bao giờ làm điều đó trên máy vật lý chính, lấy máy ảo hoặc bộ chứa Docker giới hạn nghiêm ngặt các quyền ra ngoài mạng. Có một hành động rất quan trọng khác. Đi tới cài đặt công cụ của bạn và tắt tất cả các chế độ thực thi tự động không được giám sát.
Chỉ cần bạn đang sử dụng một nút trong trạm trung chuyển, mọi dòng mã mà AI đề xuất chạy trên thiết bị đầu cuối đều phải được chấp nhận rằng đó là lệnh tấn công do hacker gửi đến và bạn phải xem từng chữ bằng mắt thường, không được hành động như một người bán hàng rảnh tay.
Hãy để tôi nói về kế hoạch thỏa hiệp cuối cùng.
Nếu bạn thực sự nghĩ rằng trang web chính thức đắt tiền và bạn phải tận dụng nó, thì chỉ cần sử dụng trạm trung chuyển như một công cụ trò chuyện thuần túy. Viết báo cáo hàng tuần, trau chuốt một bài báo, dịch một số thông tin, bất cứ điều gì bạn muốn. Nhưng tuyệt đối, tuyệt đối không điền Key này vào bất kỳ tool Agent nào có thể gọi tới terminal cục bộ nhé!
Phải làm gì nếu quyền riêng tư bị rò rỉ?
Thành thật mà nói, điều này làm tôi nhớ đến câu nói nổi tiếng của ông chủ Li đã bị cả Internet chế giễu: "Người Trung Quốc sẵn sàng đánh đổi quyền riêng tư để lấy sự thuận tiện". Điều này nghe có vẻ hơi khắc nghiệt, nhưng nếu bạn bướng bỉnh và cảm thấy rằng không vấn đề gì nếu lịch sử trò chuyện và mã công ty của bạn bị quản trị viên web vô đạo đức nhìn thấy, bạn phải đánh đổi quyền riêng tư của mình với mức giá chênh lệch hàng chục đô la.
Đó cũng là quyền tự do của bạn.
Nhưng hãy giữ điểm mấu chốt cuối cùng, bạn có thể cho hacker xem nhật ký của mình, nhưng đừng bao giờ đưa cho hắn chìa khóa cửa an ninh nhà bạn.
AI là đòn bẩy năng suất tuyệt vời và thực sự có thể đưa chúng ta bay cao. Nhưng trước khi cất cánh, tốt hơn hết bạn nên khóa chặt cửa hệ thống của mình.
