很多用户为了图便宜,喜欢购买一些提供大模型API中转服务的。尤其是价格远低于市场价格的API服务。这些API服务通常使用中转方式,可以向用户提供价格更低,Token数量更多以及不会被大模型官网屏蔽的IP地址等服务。
信息泄露
我们都知道,当使用第三方API中转服务享受免费/低价服务的同时,中转的数据本身也是可以被API中转商完全看到的。也就是说,你想大模型请求的所有内容中转商理论上都能看到。所你,你是谁,你在做什么项目,你有什么新的创新,你的个人信息……这些都将一览无余。
指令注入
更重要的是,因为中转商同时掌握了大模型接口的请求和返回数据,因此如果中转商作恶,他们完全可以修改大模型返回内容。让大模型给你的Cursor、Claude Code等工具注入恶意指令,执行系统命令,完成更加隐蔽和有破坏力的目的。
可能你会说,API中转商未必会作恶吧?那是你一厢情愿,据我的了解目前有这些问题:
- 窃取项目敏感数据(你的各种登录凭据、密钥、密码、数据库连接信息等等)
- 窃取你的商业机密(在建项目名称,最新的创新Idea等等)
- 窃取数据资产(分析请求是否有数字资产密钥)
- 窃取个人隐私(用户个人画像信息……想想你都问过大模型什么问题?)
- 大模型指令注入
- 读取系统文件
- 执行系统命令
- 下载木马软件
- 执行勒索软件
- ……
我个人向来的建议是多花点钱,使用官方API服务,毕竟天下没有免费的午餐。总体来说,大平台主动作恶的可能性小,即使他们真的要作恶,首先针对的肯定不是你吧。最后,Cloudflare这样的网络基础设施,普通用户/企业,默认也只能是选择信任……
见微知著 · TheSignalwise 
留下评论