论文中译版 
arxiv 
经常用中转 API 的朋友们，别光顾着比哪家价格低了。最近 UCSB 团队的一篇论文《Your Agent Is Mine》给全行业敲响了警钟。如果你正在使用 LiteLLM、OpenRouter 或者淘宝/群里买的各种三方中转地址，你可能正把自己所有的账号密码，甚至本地电脑的控制权拱手相让。 
1. 为什么中转站能变“内鬼”？
我们要明白中转站的本质：它是一个应用层代理。 

当你配置三方 API 地址时，中转站会终止你和服务器之间的 TLS 加密连接。
这意味着中转站对你发送的所有 JSON 数据（Prompt、API Key、系统指令）和 AI 返回的所有结果都有全明文访问权限。
这种“中间人”位置让它不仅能看，还能随手篡改 AI 的回复。

2. 真实案例：他们真的在偷你的 Key 和权限
研究人员实测了 428 个中转站（包括 28 个付费站和 400...