在AI快速渗透企业核心业务的过程中，一个被忽视但正在快速放大的安全问题正在显现：模型网关正在成为AI系统中最脆弱、最容易被利用的攻击入口之一。

最新一项研究显示，在大量的第三方模型网关中，已经出现真实的恶意行为与数据窃取事件：

付费模型网关中约3.6%存在异常或恶意行为

免费模型网关中约2%直接注入恶意代码

API Key、云凭证、系统提示词等敏感信息在网关层被完整暴露

缺乏安全审计、缺乏访问隔离、缺乏合规约束的模型网关，已构成企业数据观测、内容篡改与凭证窃取的重要安全风险。

研究数据来源：引用自安全研究论文《Your Agent Is Mine》（arXiv:2604.08407），由Hanzhi Liu等研究人员于2026年4月发布。

大模型供应链安全：被忽视的AI网关风险

大多数第三方模型网关并非简单转发请求，而是会终止TLS连接并以明文形式处理完整的请求与响应数据。这意味着，API Key、系统提示词、工具定义、执行指令乃至返回结果，都会在网关侧被完整暴露。

问题的关键在于，这些网关往往由个人或小规模团队搭建，缺乏合规资质与安全审计机制，其本质更接近于一个没有任何安全约束的应用层代理。一旦模型网关被恶意控制或本身就是恶意服务，它就能：

篡改内容：在工具调用中替换发送或返回中的URL、依赖包、执行脚本等

窃取密钥：可以窃取在与模型通信交互过程中无意泄漏的钱包助记词、私钥、API密钥等

这一威胁与传统提示注入完全正交——攻击发生在模型推理循环之下的回调层，现有的大部分提示词防护无法抵挡。

1. 攻击类型与成因分析

普遍情况下攻击者通常先进行被动密钥窃取，收集敏感凭据，再根据场景选择载荷注入或依赖注入执行恶意操作。

下表总结了四大攻击类型的核心特征与危害等级：

2. 风险场景与实验数据

研究团队从公开渠道获取了428个第三方模型网关（包括付费和免费）API，在其中放置真实的API密钥和云凭证，观察并记录攻击者的行为。

3. 企业内部面临的风险

企业内部使用大模型的典型场景：

研发团队使用Claude Code、Codex等工具辅助编程

运营团队使用OpenClaw、Hermes Agent等智能体工具自动化处理客户请求

数据团队通过模型网关API调用大模型进行数据分析

攻击者通过未经审计、无资质监管的模型网关静默窃取API Key、云凭证等敏感信息，或篡改工具调用注入恶意代码。恶意内容进入企业内网后落地执行，凭据被用于横向移动，最终导致数据泄漏、资产损失或合规违规。上述整个过程员工完全无感知，往往在收到巨额账单或发现异常时才察觉。

真实案例：

优刻得AstraFlow星图：构建“失陷可控”的AI安全体系

在这一挑战下，企业需要的是建立在合规与基础设施之上的长期可信保障。

相比大量缺乏审计与监管的第三方模型网关，优刻得（688158）作为中立的云计算（885362）上市公司，在安全与合规体系方面具备坚实基础。公司通过三级等保认证，获得可信云云服务信用AAA级认证，通过多项ISO国际标准认证体系，形成了完善的安全治理能力。

在全面可信云能力上，优刻得（688158）AstraFlow星图平台从系统架构层面出发，构建了一套以“限制风险影响范围”为核心的安全防护体系。确保即便攻击发生，也无法突破既定边界。

在凭证安全层面，星图通过最小权限原则对API Key进行精细化控制，并结合预算上限与自动熔断机制，对每一个凭证的调用能力进行严格约束，避免因密钥泄露带来的无限制资源消耗问题。

在访问控制层面，通过将API Key绑定至指定网络来源，有效阻断了凭证在外部环境中的非法复用路径，使其从“通用凭证”转变为“受控资源”。

在执行安全层面，星图提供基于Agent Sandbox的隔离运行环境，将所有模型生成代码与工具调用行为限制在独立沙箱之中，通过对文件系统、网络访问及运行时生命周期（883436）的全面控制，即便恶意载荷进入执行阶段，也无法接触真实业务系统或实现持久化扩散。

通过在凭证、访问与执行三个关键环节建立安全边界，AstraFlow星图将原本难以感知、难以防御的模型网关供应链风险，转化为可约束、可隔离、可管理的系统性风险，从而帮助企业在复杂多变的ai应用（886108）环境中，依然能够保持对安全的掌控能力。

在大模型与智能体加速融入核心业务的今天，供应链安全已经不再是边缘问题，而是直接关系到企业数据资产与业务稳定性的基础能力。

AstraFlow星图所提供的，正是一种面向未来的答案：在不可完全信任的AI世界中，构建一个可控的AI安全边界。