Claude 代碼洩漏引爆 LLM 危機，駭客已盜取研究員 ETH

安全研究員於 4 月 10 日揭示 LLM 生態系中一項系統性供應鏈安全漏洞：在針對 428 個第三方 API 路由器的實測中，逾 20% 的免費路由器被發現正主動注入惡意代碼，其中一個路由器已成功從研究人員控制的私鑰中竊取 ETH。

LLM 路由器供應鏈漏洞：研究數據揭露的系統性風險

社交媒體研究員 @Fried_rice 指出，LLM 代理生態系中被廣泛採用的第三方 API 路由器，實質上是在客戶端與上游模型之間插入的應用層代理，能夠以明文形式讀取每一筆傳輸中的 JSON 載荷。核心問題在於，目前沒有任何路由器提供商在客戶端與上游模型之間強制執行加密完整性保護，使路由器成為供應鏈攻擊的高價值介入點。

研究測試的四類關鍵發現

惡意代碼主動注入：1 個付費路由器及 8 個免費路由器（逾 20%）正在對傳輸中的載荷主動注入惡意代碼

自適應規避機制：2 個路由器部署了可動態逃避偵測的觸發器，能在安全審查時隱藏惡意行為

憑證主動探測：17 個路由器觸碰了研究人員部署的 AWS Canary 憑證，顯示存在主動的憑證竊取嘗試

加密資產竊盜：1 個路由器從研究人員持有的私鑰中竊取了 ETH，確認漏洞已可直接導致鏈上資產損失

投毒實驗進一步揭示了漏洞規模：一個洩露的 OpenAI API 金鑰被利用生成了 1 億個 GPT-5.4 token；配置較弱的誘餌則產生了 20 億個計費 token、跨越 440 個 Codex 會話的 99 份憑證，以及 401 個已在自主「YOLO 模式」下運行的會話。

Claude 代碼洩漏：從人為疏失到駭客利用的攻擊鏈

2026 年 3 月底，Claude 代碼的 NPM 儲存庫中的 Java 原始碼映射文件（Source Map File）意外公開，大量開發者隨即下載並傳播。Anthropic 坦承確有內部源代碼外流，起因為人為疏失。

然而，駭客迅速將這一事件轉化為攻擊向量。Zscaler 發現，攻擊者以「Claude Code Leak」為名，在 GitHub 散布 ZIP 壓縮包，聲稱內含基於洩漏源代碼編譯的、具備企業級功能且無訊息限制的特殊版本 Claude 代碼。若開發者依照指示執行，設備即會被植入竊資軟體 Vidar 及代理伺服器工具 GhostSocks。這一攻擊鏈精準利用了開發者的好奇心與對官方洩漏事件的關注，是典型的社會工程學結合惡意軟體的複合型攻擊。

防禦機制：研究驗證的三層客戶端保護手段

研究團隊同時開發了名為 Mine 的研究性代理，驗證了三種對客戶端有效的防禦機制：

故障閉鎖策略門控（Circuit Breaker Policy Gating）：偵測到路由器異常行為時自動切斷連接，防止惡意指令傳遞

響應端異常篩查（Response-side Anomaly Screening）：對路由器回傳的響應進行完整性驗證，識別被篡改的內容

僅追加透明日誌記錄（Append-only Transparent Logging）：建立不可篡改的操作審計紀錄，用於事後追溯與分析

常見問題

什麼是 LLM API 路由器，為何其存在構成供應鏈安全風險？

LLM API 路由器是在 AI 應用程式與上游模型提供商之間充當代理的第三方服務，能夠將工具呼叫請求分派給多個上游提供商。由於路由器可以明文讀取所有傳輸中的 JSON 載荷，且目前缺乏端對端加密保護，惡意或被入侵的路由器可在用戶不知情的情況下注入惡意代碼、竊取 API 憑證或加密資產。

Claude 代碼洩漏事件的起因是什麼，為何被駭客利用？

Claude 代碼洩漏起因為 Anthropic 內部人員在 NPM 儲存庫中意外公開了 Java 原始碼映射文件。洩漏事件引發廣泛關注後，駭客借助開發者對洩漏內容的好奇心，在 GitHub 散布偽裝成洩漏代碼的惡意壓縮包，成功引導目標用戶主動安裝惡意軟體。

開發者如何在此類供應鏈攻擊中保護自身安全？

關鍵防禦措施包括：僅使用來自可信且有明確安全審計記錄的路由器服務；拒絕從非官方渠道下載聲稱的「特殊版本」代碼；在 API 憑證管理中落實最小權限原則；以及在 LLM 代理框架中啟用響應端異常偵測機制，避免因路由器被入侵而導致鏈上資產損失。