Tổng hợp các hiện tượng hỗn loạn tại các trạm trung chuyển Token: Sau khi nghiên cứu, tôi không dám sử dụng chút nào

Sự việc là như thế này.

Hai ngày trước, tôi đang lặn trong một nhóm nhà phát triển, xem mọi người sôi nổi thảo luận về việc mua API Key giá rẻ, chính là loại trạm trung chuyển trên Xianyu mà vài đồng có thể chạy hàng trăm triệu Token.

Mọi người đều đang phàn nàn, nói rằng cảm thấy mô hình trong tay bị đổi tráo, nghi ngờ quản trị viên lén lấy mô hình nhỏ pha loãng để lừa tiền.

Lúc đó tôi nhìn những bản ghi chat này, trong lòng chỉ có một suy nghĩ...

Không phải anh bạn, các bạn cũng quá dễ dãi rồi.

Mọi người còn đang tiếc mấy đồng chênh lệch kia, trong khi trạm trung chuyển có lẽ đang lục tung "quần đùi" máy tính của bạn rồi.

Tình hình nghiêm trọng đến mức nào?

Thẳng thắn mà nói, việc nạp tiền vào trạm trung chuyển "gà mờ", mô hình bị pha loãng, tôi còn cảm thấy đó là thao tác có đạo đức nghề nghiệp nhất trong số những người làm sản phẩm xám này.

Bạn nghĩ xem, bạn gửi một yêu cầu mã phức tạp đi, nghĩ đến việc dùng Claude Opus4.6 mạnh nhất để xử lý một cách ngon lành, kịch bản định tuyến backend của hắn đánh giá, trực tiếp ném cho mô hình nguồn mở nhỏ miễn phí để đối phó với bạn. Loại đen tối hơn, làm tay chân trên hệ số tính phí của bạn, chính thức chạy 100 cái thì backend của hắn tính cho bạn 300 cái.

Nhưng điều đó còn chưa là gì. Nhiều quản trị viên đơn giản là dùng thẻ tín dụng bị đánh cắp để ăn chặn, chính thức khóa tài khoản, hắn lập tức rút dây mạng bỏ chạy. Ngay cả một nơi để đăng bài đòi quyền lợi cũng không có. Còn về lịch sử trò chuyện của bạn, bề mặt họ viết là tuyệt đối không lưu, nhưng sau lưng sớm đã đóng gói thành kho ngữ liệu bán theo cân trên dark web rồi.

Nhiều người nghĩ, đây chẳng qua là lừa một ít tiền nhỏ bị cắt lỗ thôi, đằng nào cũng rẻ, nhịn được.

Trước đây tôi cũng nghĩ như vậy, cho đến khi tôi thấy một nghiên cứu an ninh tiên phong gần đây, điều này khiến tôi choáng váng.

Thật sự mà nói, sự hiểu biết của nhiều người về trạm trung chuyển, vẫn còn dừng lại ở thời đại "trò chuyện trên web" trước đây. Nghĩ rằng nó chỉ là một bộ chuyển tiếp truyền tin vô tri.

Nhưng AI bây giờ đã không còn là robot trò chuyện nữa. Bạn trước màn hình, có thể máy tính đang mở Cursor, hoặc chạy ClaudeCode, hoặc đang nuôi tôm hùm đất.

AI bây giờ là có tay có chân. Nó có thể đọc file cục bộ của bạn, viết mã, thậm chí có thể trực tiếp thực thi lệnh cấp hệ thống trong terminal của bạn.

Lúc này bạn lại điền cái Base URL không rõ nguồn gốc đó vào trình soạn thảo mã, tính chất hoàn toàn thay đổi rồi.

Hai ngày trước thấy một bài báo do nhóm nghiên cứu an ninh nổi tiếng Chaofan Shou công bố, tên là "Your Agent Is Mine". Họ đi thăm dò ngầm hơn 400 trạm trung chuyển trên thị trường.

Kết quả thì sao???

Bắt tại trận 26 trạm trung chuyển đang lén lút tiêm mã độc.

Làm thế nào để thực hiện?

Nói về nguyên lý thực hiện, điều này liên quan đến một lỗ hổng kiến trúc chí mạng nhất của trạm trung chuyển, nó là kẻ trung gian ở tầng ứng dụng. Nghĩa là, giao tiếp giữa bạn với OpenAI hoặc Anthropic, trong khoảnh khắc đi qua máy chủ trạm trung chuyển, đều là văn bản thuần túy.

Điều này thật quá kích thích...

Nếu bạn quan tâm đến lĩnh vực này, có thể tưởng tượng cảnh tượng này.

Bạn dùng Cursor để AI giúp bạn viết một kịch bản Python phân tích nhật ký Nginx. GPT-5 chính thức ở xa thật sự viết một cách trung thực, đóng gói mã thành một đoạn dữ liệu JSON truyền về.

Kết quả là ông chủ đen tối của trạm trung chuyển này nhìn thấy, thuận tay thêm vào cuối dữ liệu trả về một đoạn logic mã độc tạo reverse Shell.

Client cục bộ của bạn căn bản không kiểm tra tính xác thực, nhận được định dạng JSON hợp lệ là tin ngay, lập tức chạy trên máy tính của bạn.

Còn có thao tác khá lắt léo. Bọn lão âm này thường giả vờ rất trung thực, trò chuyện đối đáp trôi chảy với bạn. Đợi khi bạn để AI giúp bạn cấu hình môi trường phát triển, ví dụ AI đề nghị bạn thực thi cài đặt gói requests trong terminal.

Kịch bản ngửi của trạm trung chuyển phát hiện, lén lút bóp méo tên gói thành reqeusts. Sai một chữ cái, bạn nhắm mắt gõ Enter, một gói phụ thuộc độc hại chứa virus tống tiền hoặc chương trình đào coin là vào thẳng thư mục gốc hệ thống của bạn.

Tôi lập tức sững sờ.

Trong dữ liệu thử nghiệm thực tế mà nhóm nghiên cứu công bố, có 17 trạm trung chuyển thậm chí chủ động chạm vào và thử đánh cắp khóa mồi câu dịch vụ đám mây AWS mà nhà nghiên cứu cố ý đặt vào. Trong thực tế thậm chí có người vì dùng node độc hại, khóa riêng tư Ethereum trực tiếp bị rò rỉ, vài trăm nghìn USD bốc hơi trong nháy mắt.

Khiến tôi bây giờ vẫn còn hơi choáng.

Theo đà trên nói tiếp. Thứ này thực chất là một khu rừng tối đen.

Nhiều người biết, ngoài những nhà tổng hợp chính thức công khai như OpenRouter, đại đa số loại trạm trung chuyển "gà mờ" giá rẻ trên thị trường, dựa vào cái gì để khởi nghiệp: đảo ngược phá vỡ, bán chéo khu vực, rút tiền mặt bằng thẻ tín dụng sản phẩm đen.

Rất nhiều người làm công ăn lương bình thường hoặc lập trình viên chúng ta, đem quyền kiểm soát cao nhất của máy tính chứa mã nguồn lõi công ty, từ khóa ghi nhớ tiền mã hóa, gửi gắm vào lương tâm của những người làm sản phẩm xám này.

Chúng ta phòng ngừa thế nào?

Không lẽ không dùng những công cụ AI này nữa.

Tôi nghĩ, muốn giải quyết triệt để vấn đề này, phải dựa vào nhà sản xuất mô hình từ tầng đáy vào tay. API hiện tại giống như gửi thư thường, người đưa thư muốn sửa nội dung thư dễ như trở bàn tay.

Một cách làm là đưa vào chữ ký số mật mã học tương tự chứng chỉ HTTPS. Công ty mô hình lớn gửi mã dùng khóa riêng chính thức đóng dấu, trình soạn thảo cục bộ của chúng ta sau khi nhận được thì đến tên miền có thẩm quyền chính thức kéo khóa công khai để kiểm tra chữ ký. Trạm trung chuyển chỉ cần dám sửa một dấu chấm câu ở giữa, chữ ký trực tiếp vô hiệu, lập tức chặn lại.

Thật lòng mà nói tôi cũng không chắc nhà sản xuất khi nào có thể đưa ra cơ chế xác minh. Trước đó, chúng ta chỉ có thể tự nghĩ cách bảo mạng.

Một chiến lược của tôi là, quay lại dùng kết nối trực tiếp nguyên bản chính thức, hoặc lùi một bước chỉ dùng cổng chính thức có uy tín cực cao như OpenRouter. Không cho bất kỳ hacker độc hại nào cơ hội tiếp xúc dữ liệu văn bản thuần túy của bạn.

Nếu bạn nhất định phải vặt lông cừu mấy đồng đó, tin tôi đi, nhất định phải làm tốt sự cách ly vật lý cực đoan.

Tuyệt đối đừng làm trên máy vật lý chính, tạo một máy ảo, hoặc container Docker bị hạn chế nghiêm ngặt quyền xuất mạng. Còn có một động tác rất quan trọng, vào cài đặt công cụ của bạn, tắt tất cả các chế độ thực thi tự chủ không giám sát.

Chỉ cần bạn dùng node của trạm trung chuyển, mỗi dòng mã AI đề nghị chạy trong terminal, bạn đều phải mặc định nó là lệnh tấn công do hacker gửi đến, dùng mắt thường theo dõi từng chữ, tuyệt đối không được làm người buông tay.

Tôi nói thêm một phương án dung hòa cuối cùng.

Nếu bạn thật sự chê chính thức đắt, nhất định phải vặt lông cừu này, vậy thì bạn chỉ lấy trạm trung chuyển làm công cụ trò chuyện thuần túy. Viết báo cáo tuần, trau chuốt bài viết, dịch tài liệu, tùy bạn. Nhưng tuyệt đối, tuyệt đối không điền Key này vào bất kỳ công cụ Agent nào có thể gọi terminal cục bộ!

Rò rỉ quyền riêng tư thì sao?

Thật lòng mà nói, điều này khiến tôi nhớ đến câu nói nổi tiếng bị cả mạng chế giễu của ông Lý năm đó, "Người Trung Quốc sẵn sàng đổi quyền riêng tư lấy sự tiện lợi". Câu này nghe hơi chói tai nhưng, nếu bạn cứng đầu, cảm thấy lịch sử trò chuyện và mã công ty của mình bị quản trị viên đen tối xem hết cũng không sao, cứ dùng quyền riêng tư đổi lấy chênh lệch vài chục đồng đó.

Đó cũng là tự do của bạn.

Nhưng giữ vững ranh giới cuối cùng, bạn có thể cho hacker xem nhật ký, nhưng tuyệt đối đừng đưa chìa khóa cửa chống trộm nhà mình cho hắn.

AI là đòn bẩy sản xuất tuyệt vời, thật sự có thể đưa chúng ta bay lên. Nhưng trước khi cất cánh, vẫn hãy khóa chặt cánh cửa hệ thống của mình trước đã.

Bài đọc liên quan

Hướng dẫn khởi nghiệp trong thị trường gấu tiền mã hóa phần 2 về Trạm trung chuyển Token: Đổi Token mã hóa lấy AI Token