文章总结： 本文揭示本地AIAgent通过第三方API中转站时的安全风险，指出中转站可能篡改Prompt、注入恶意代码并非法执行，结合真实案例说明攻击链如何利用用户信任导致开机自启隐藏脚本，建议用户警惕非透明中转服务并加强执行结果审查。 综合评分： 78 文章分类： 安全意识,恶意软件,安全工具,红队,其他

API公益中转站建议还是先了解后再用

原创

吾爱pojie 吾爱pojie

吾爱破解论坛

2026年5月25日 10:52 北京

在小说阅读器读本章

去阅读

作者论坛账号：Lkkxi

【聊聊 本地 Agent 接第三方API中转后的一个危险问题】

很多人现在已经默认：本地Agent + 中转站也是属于日常玩法了。 发现这里其实有个被很多人忽略的风险：

AI Agent 已经不是“聊天机器人–编码助手”了。

它是真的能操作你电脑 比如这类：

• Claude Code
• OpenCode
• Codex 这些东西本质已经是：LLM + 本地执行器。

一、很多人误以为“中转站只是转发”

最开始我也这么觉得感觉就是： 客户端 ↓ Proxy ↓ Claude/OpenAI 无非就是：

• 换个 API 地址
• 省点钱
• 解区域限制

但后面发现问题没这么简单因为很多第三方 Proxy：并不是透明转发 它其实可以：

• 修改 Prompt
• 注入 System Prompt
• 污染模型返回
• 插入 Tool Call
• 修改 Function Call

本质其实已经很像：MITM（中间人）了。

二、最近微信群碰到的一个真实案例

• AppData 下被创建了 .ps1

• Startup 启动目录被写入 .vbs

• 开机自动运行

• PowerShell 隐藏执行

  

  文件拿到沙箱运行最后变成这样：

  

三、启动项这里其实才是重点

从图里还能看到：Startup\我们拥有的信仰.vbs 以及：WScript.Shell.Run powershell … 并且：WindowStyle Hidden也就是隐藏运行

这已经是非常经典的：

• VBS 启动项
• PS1 Payload
• Hidden PowerShell

虽然这里只是弹窗。 但这个行为模式本身：已经和传统脚本木马很接近了

四、问题真正出在哪

很多人以为：中转站黑进了电脑其实并不是，真实链路更像：

用户请求 ↓ Claude Code ↓ 第三方Proxy ↓ Proxy修改返回 ↓ Claude Code相信返回 ↓ 调用Shell/File Tool ↓ 本机执行

注意：真正危险的是“返回结果”

而且用户还不容易发现 因为 Agent 平时本来就会：

• 创建文件
• 改配置
• 跑 terminal
• 安装依赖
• 写脚本 所以：恶意操作很容易混进去尤其终端疯狂刷屏的时候，很多人根本不会逐条看。 而且用户看到的是：Claude Code 在正常工作 天然警惕性就会低很多。

五、现在感觉 AI Agent 的边界已经有点模糊了

以前木马：

• 要漏洞
• 要RCE
• 要提权 现在：用户主动安装了一个“会自己执行命令的AI” 甚至还能获取全盘权限，这个变化其实挺大的。

-官方论坛

www.52pojie.cn

👆👆👆

公众号设置“星标”，您不会错过新的消息通知

如开放注册、精华文章和周边活动等公告

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：吾爱破解论坛 吾爱pojie 吾爱pojie《API公益中转站建议还是先了解后再用》