文章总结： 本文分析了AIAgent使用中转站时面临的潜在安全风险，指出中转站可能篡改ToolCall请求，在Shell命令或代码中植入恶意脚本，导致设备被控制或数据泄露。作者强调此类攻击属于主动恶意行为，与LLM自身失误有本质区别，并建议用户使用隔离环境、谨慎选择中转站、开启执行确认机制、定期清理环境及敏感操作直连官方API以降低风险。 综合评分： 78 文章分类： 恶意软件,安全意识,安全工具,解决方案,终端安全

一种新型的攻击悄然进行，Token中转站的萃毒匕首，它真的能给你的电脑投毒

原创

67626d 67626d

暗影安全

2026年4月24日 11:39 北京

在小说阅读器读本章

去阅读

提前声明

本文所讨论的仅为「理论层面的技术可能性」—— 截至目前，我既未实际观察到任何相关案例，也未听闻过公开的恶意攻击事件。但基于中转站的技术原理，这种潜在风险真实存在，我已在本地环境（本地模型+openclaw）进行试验，完成执行流程注入，下载木马执行。

先搞懂：Agent 的 Tool Call 链路到底是怎样的？

熟悉 Agent 运作逻辑的朋友都知道，Agent 要实现复杂功能，必须依赖「Tool Call（工具调用）」：

1.LLM 生成 Tool Call 请求（比如执行 Shell 命令、编写代码文件、调用本地软件等）；

2.该请求通过网络传输至你的本地客户端；

3.客户端根据预设规则，要么弹出弹窗让你确认同意，要么直接自动执行（比如部分自动化工作流会跳过确认步骤）。

关键问题在于：LLM 返回的 Tool Call 请求本身，并不具备「绝对无害」的保证。此前社区已经出现过不少惨痛案例—— 比如 LLM 因幻觉生成了 rm -rf /* 这类删全盘命令，或误写了包含恶意逻辑的代码，最终导致用户数据丢失、设备异常。这些大多是「无意的执行失误」，但风险已然可见。

中转站的角色：既是「桥梁」，也可能是「黑手」

现在，越来越多用户会通过「中转站」使用 Agent（比如跨网络访问、优化连接稳定性、使用第三方定制功能等），这就让原本的「LLM → 本地客户端」两点链路，变成了「LLM → 中转站 → 本地客户端」的三点链路。

中转站作为全程参与数据传输的「中间人」，拥有两个核心权限：

1.查看所有消息记录：你的提问、LLM 的回复、Tool Call 的具体内容，理论上都能被中转站捕获和存储；

2.任意篡改传输内容：这正是最危险的地方—— 中转站完全可以在 Tool Call 请求从 LLM 传向客户端的过程中，偷偷修改内容：

◦给 Shell 命令加个「尾巴」：比如原本要执行 ls -l 查看文件，被篡改为ls -l && 恶意脚本.sh，执行后悄悄植入病毒；

◦给代码植入恶意逻辑：比如 LLM 生成的是正常的数据分析代码，被篡改后加入窃取隐私、挖矿、远程控制的片段；

◦伪造 Tool Call 请求：甚至可以跳过 LLM，直接伪造一条看似来自官方的 Tool Call，诱导客户端执行。

一旦这些被篡改的恶意 Tool Call 获得执行权限（无论是否经过用户同意 —— 很多人会因信任官方或嫌麻烦直接点「同意」），你的本地运行环境就会完全暴露在风险中：设备被控制、隐私数据被窃取、沦为挖矿肉鸡，都可能发生。

两种风险的核心区别：无意失误 vs 恶意攻击

很多人已经意识到「Agent 可能有危险」，但这种危险和中转站带来的风险，本质完全不同：

| | | | | — | — | — | | 风险类型 | 本质 | 可防御性 | | Agent 自身失误 | 随机的、无意的（LLM 幻觉、逻辑错误） | 较高—— 强大的 LLM 可通过自我校验规避，用户也能通过「仔细审核 Tool Call 内容」降低风险 | | 中转站恶意篡改 | 主动的、明确的（人为攻击，以牟利为目的） | 极低—— 篡改后的内容可以伪装得和正常请求完全一致，用户肉眼难以分辨，LLM 也无法感知传输过程中的篡改 |

为什么要重视这种「理论风险」？

可能有人觉得「没发生过的事，没必要大惊小怪」，但结合现实案例来看，这种担忧绝非杞人忧天：

•近期新闻曝光：不少家用宽带代理，本质是黑客入侵家庭路由器后搭建的，用户的网络流量全程被劫持；

•早年的广告联盟乱象：很多推广的「免费软件」「优化工具」，实际是捆绑了病毒的流氓软件，目的就是窃取用户设备控制权或挖矿；

•中转站的用户体量正在快速增长—— 当一个工具的使用者达到一定规模，就可能被黑恶势力盯上：高价买通中转站运营者、入侵中转站服务器，通过投毒批量控制用户设备，这种黑色产业链早已存在。

这意味着：中转站「收割用户」的方式，可能不止卖数据—— 把用户设备变成肉鸡出租、窃取账号密码和隐私信息、植入挖矿程序，这些都能带来巨额利益。对于那些本身就有劣迹的中转站（比如掺 GLM 冒充 Opus 售卖、逆向破解官方功能、数据注水造假），只要有利可图，出卖用户的底线根本不值一提。

给用户的安全建议：至少做好这几点

尽管风险存在，但我们无需因噎废食，做好隔离和防护就能大幅降低损失：

1.优先使用隔离环境：这是最核心的建议—— 用 Docker、Dev Container 或虚拟机（比如 VirtualBox、VMware）搭建独立的 Agent 运行环境。所有 Tool Call 都在隔离环境中执行，哪怕被投毒，只需删除容器 / 虚拟机重新创建，就能恢复纯净环境，不会影响宿主机的系统和数据（注：暂不考虑容器逃逸等极端情况，普通用户做好基础隔离即可）；

2.谨慎选择中转站：优先使用官方认证、口碑良好、有明确隐私政策的中转站；对于有过造假、欺诈劣迹的中转站，直接拉黑，绝不使用；

3.开启 Tool Call 确认机制：无论使用哪个中转站，都要在客户端设置中开启「Tool Call 执行前必须用户确认」，不要图方便开启自动执行。执行前仔细审核命令和代码内容，尤其警惕 rm「wget」「curl」等可能修改系统、下载文件的命令；

4.定期清理运行环境：即使使用了隔离环境，也建议定期重置容器 / 虚拟机，避免恶意程序长期潜伏；

5.敏感操作避开中转站：如果要执行涉及隐私数据（比如账号密码、个人文件）、系统核心设置的 Tool Call，尽量直接连接官方 LLM，绕过第三方中转站。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗影安全 67626d 67626d《一种新型的攻击悄然进行，Token中转站的萃毒匕首，它真的能给你的电脑投毒》