① 窥探并窃取 — 源代码、API 密钥、系统提示词、业务对话，中转站都能完整截获。

② 篡改模型返回 — 中间人 MITM 攻击，把安全代码换成恶意命令，你看到的「正常输出」可能是假的。

③ Prompt Injection — 回复里夹带隐藏指令，程序照单全收，可能在后台执行下载木马等操作。

④ 偷偷替换模型 — 你以为在用 Claude，实际跑的是廉价小模型，质量骤降且数据流向未知。

大模型 + 本地执行器会忠实执行每条指令。中转站递来篡改后的恶意命令（如 curl … | bash），Agent 不会质疑 —— 直接在本地 Shell 执行，可能入侵系统。

官方 API 优先 — 敏感业务直连官方；必须用中转时，选有资质、可审计的服务商。

Agent 人工把关 — 关闭自动执行，Shell / 工具调用前必须人工确认。

收紧 Agent 权限 — 控制网络出口、限制文件写入、锁定 SSH 与关键配置。

核查中转可信度 — 核对实际调用的模型、Token 账单与返回内容。

定期巡检 · 零中转 — 检查启动项与 SSH；核心代码与生产环境绝不走中转站。