AiNews
⚡ 速览 🧠 模型
← 返回首页

#api-security

包含标签 "api-security" 的文章,共 2 篇。

🛠️ 开发工具 LINUX DO

闲置Token分享:如何防范NSFW与越狱攻击

在开发者社区中,分享闲置的 API Token(如 GPT-4 等)是常见行为,但常面临用户滥用导致账号被封的风险。本文源自开发者在 Linux.do 论坛的真实痛点:分享的 Token 被用户用于请求 NSFW(色情)内容或进行 CTF 越狱攻击,导致账号池被官方风控。 针对这一问题,开发者们探讨了如何在中转代理层(如 One-API、New-API)拦截恶意请求。核心解决方案包括: 1. 接入内容安全审查:在转发前调用 OpenAI 免费的 Moderation API 或第三方内容安全服务,对输入输出进行文本审核; 2. 敏感词与正则过滤:在中转后台配置敏感词库,直接拦截包含特定政治、色情、黑客攻击等关键词的请求; 3. 提示词注入防御:利用安全网关或大模型防火墙(如 LLM Guard),识别并拦截越狱(Jailbreak)和提示词注入行为。 这些安全防护手段对于维护公益 API 站和私有中转站的稳定性、保护高价值账号资产具有重要的实际参考价值。

🛠️ 开发工具 LINUX DO

防范API中转投毒:本地安全审计网关方案

近期Linux.do社区频发API中转站投毒与敏感信息窃取事件,攻击者主要通过操纵Tool Call(如篡改命令参数、工具名)或Prompt注入,诱导大模型执行非预期恶意指令。针对这一安全威胁,社区开发者提出了一种“本地审计网关”的防投毒方案。该方案的核心思路是在本地网关层引入动态校验机制,例如动态调整Tool名称,确保每次大模型的请求与返回能够精确对应,从而阻断大规模非定向投毒。需要注意的是,该方案并非万能,无法防御针对特定内容的定向投毒以及底层模型本身的毒化。但对于防范目前90%以上因中转站站长误接恶意上游导致的非定向投毒非常有效,能显著提升开发者使用第三方API时的安全性。