The Proxy Knows Too Much: Sealing LLM API Routers with Attested TEEs

📄 arXiv: 2606.16358v1 📥 PDF

作者: Sipeng Xie, Qianhong Wu, Hengrun Lu, Ziliang Sun, Qi Wu, Bo Qin, Qin Wang

分类: cs.CR, cs.AI, cs.ET, cs.MA

发布日期: 2026-06-15


💡 一句话要点

提出AEGIS以解决API路由器安全问题

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: API安全 硬件安全区 中间人攻击 数据保护 大型语言模型

📋 核心要点

  1. 现有API路由器在处理明文数据时存在安全隐患,容易被恶意攻击者利用。
  2. AEGIS通过将明文处理限制在硬件安全区内,确保数据传输的安全性和完整性。
  3. 实验结果显示,AEGIS能够有效阻止多种恶意路由器攻击,且在真实工作负载下表现良好。

📝 摘要(中文)

随着代理越来越多地通过API路由器访问大型语言模型(LLMs),路由器在传输层安全会话中终止客户端连接并开启单独的上游会话,从而以明文形式持有完整交互。这使得路由器成为应用层的中间人,能够重写代理工具调用、替换依赖项、触发攻击并被动泄露秘密。现有的客户端防御措施易于规避。本文提出了AEGIS,这是一种提供者透明的认证API路由器,其数据路径是客户端验证的真实通道。AEGIS将明文处理限制在小型硬件安全区组件内,而将身份验证、调度、计费和管理留在不可信的主机上。客户端在释放明文之前验证安全区,主机无法读取或更改交互,明文仅朝向经过测量的固定目的地发送。实验表明,AEGIS能够有效阻止四类恶意路由器攻击。

🔬 方法详解

问题定义:本文旨在解决API路由器在处理明文数据时的安全隐患,现有方法容易受到中间人攻击,导致数据泄露和篡改。

核心思路:AEGIS的核心思想是通过认证的硬件安全区来处理明文数据,确保数据在传输过程中的安全性,同时将身份验证和管理留给不可信的主机。

技术框架:AEGIS的整体架构包括客户端验证的硬件安全区、主机管理模块和数据传输通道。客户端在释放明文之前会验证安全区的完整性,确保数据仅向固定目的地发送。

关键创新:AEGIS的主要创新在于将明文处理限制在硬件安全区内,主机无法读取或修改交互,这与现有方法形成了本质区别。

关键设计:AEGIS的设计包括851行的可信路径代码,支持三种原生API的无转换调用,并在真实工作负载下完成每个请求,局部中继开销约为每请求六毫秒。

🖼️ 关键图片

fig_0
fig_1

📊 实验亮点

实验结果表明,AEGIS能够有效阻止四类恶意路由器攻击,相较于明文访问基线,所有攻击均被成功阻挡。此外,AEGIS在真实提供者工作负载和并发情况下,能够高效完成每个请求,局部中继开销仅为六毫秒,显示出其优越的性能。

🎯 应用场景

AEGIS的研究成果具有广泛的应用潜力,尤其在需要保护敏感数据传输的场景中,如金融服务、医疗信息系统和云计算环境。通过确保数据在传输过程中的安全性,AEGIS能够为各种行业提供更高的安全保障,减少数据泄露风险。未来,AEGIS的设计理念也可能被应用于其他类型的API安全防护中。

📄 摘要(原文)

Agents increasingly access large language models (LLMs) through API routers. A router terminates the client's transport-layer security session and opens a separate upstream session, so it holds the full interaction in plaintext. This makes the router an application-layer man-in-the-middle: it can rewrite agent tool calls, swap dependencies for typosquatted packages, trigger attacks only under audit-evading conditions, and passively exfiltrate secrets. Existing client-side defenses are evadable. We propose AEGIS, a provider-transparent attested API router whose data path is a client-verified faithful passthrough. AEGISconfines plaintext handling to a small hardware-enclave component while leaving authentication, scheduling, accounting, and management on the untrusted host. The client verifies the enclave before releasing plaintext. The host can neither read nor alter the interaction, and plaintext leaves only toward destinations fixed by the measured image. We show that all four malicious-router attack classes succeed against a plaintext-access baseline and are blocked by AEGIS, including adaptive tests against the same boundary. The trusted path is $851$ lines, carries three provider-native APIs without conversion, and completes every request under real-provider workload and concurrency. In a seeded audit pilot, two commodity coding agents find eight and ten of ten planted invariant violations. The local relay overhead is about six milliseconds per request.