论文地址: https://arxiv.org/abs/2604.08407v1
TLDR:论文作者从淘宝、闲鱼、电商网站等平台收集了 28 个付费中转站和 400 个免费中转站,发现数十个中转站会主动注入恶意代码、搜集敏感数据( AWS 凭据、ETH 私钥)。有两个中转站甚至会推测用户是否运行在 YOLO 模式,以此决定是否注入恶意代码。
另见: t/1196288
 | 1 codersdp1 16 小时 58 分钟前 不懂就问,就配置了域名和密钥 中转站如何注入恶意代码? |
 | 3 andforce 15 小时 33 分钟前 via iPhone “可是中转站便宜啊” |
 | 4 Hashbaby 15 小时 12 分钟前 中转站甚至可以修改任意返回值 模型名称都可以是假的 反正你也不知道我在后面使用的哈 |
 | 5 lel020 15 小时 7 分钟前 via Android 关键是 AI 的每句话,中转站都可以篡改,现在 AI 都是有命令行权限的。一旦中转 AI 背刺你。后果不堪设想。目前为止还没用过中转,但经常使用 yolo 。 |
 | 6 SmithJohn 15 小时 1 分钟前 看来这些确实是更适合放在容器或者虚拟机里。。。 |
Select Language