Show HN: 可视化 LLM 工具数据传输的 MitM 代理

Show HN: 可视化 LLM 工具数据传输的 MitM 代理

基本信息

• 作者: jmuncor
• 评分: 174
• 评论数: 86
• 链接: https://github.com/jmuncor/sherlock
• HN 讨论: https://news.ycombinator.com/item?id=46799898

导语

随着大语言模型工具的普及，数据隐私与 API 调用的透明度日益受到关注。本文介绍的一款中间人代理工具，能够帮助开发者拦截并直观查看这些工具在后台发送的具体数据。通过阅读本文，你将了解该工具的安装配置方法，以及如何利用它来排查请求异常或监控敏感信息流向，从而更安全地集成 LLM 能力。

评论

文章中心观点 该文章展示了一个中间人代理工具，旨在通过拦截和解析网络流量，赋予开发者和企业透明化监管大语言模型（LLM）工具数据传输的能力，以应对日益增长的数据隐私与安全合规需求。

深入评价与分析

1. 内容深度：从“黑盒”到“灰盒”的关键窥孔

• 支撑理由（事实陈述）： 文章触及了LLM应用开发中最脆弱的环节——客户端与服务端的数据交互。目前的LLM SDK（如OpenAI SDK）往往封装了底层网络请求，导致开发者难以直观确认发送了哪些上下文、是否泄露了敏感Token。该工具利用MITM（中间人攻击）技术的防御性一面，剥离了HTTPS加密层，提供了底层的可见性。
• 支撑理由（你的推断）： 这不仅是技术调试工具，更是合规审计的雏形。随着GDPR和欧盟《人工智能法案》的推进，企业必须知晓AI是否在处理PII（个人身份信息）。此类工具填补了“代码逻辑”与“实际网络行为”之间的认知鸿沟。
• 反例/边界条件（作者观点/技术限制）： 文章可能未深入探讨“流式传输”的复杂性。LLM通常返回Server-Sent Events (SSE)或分块传输，MITM代理在处理这些非标准HTTP流时可能会出现丢包、乱码或缓冲区溢出，导致调试困难。此外，如果LLM工具使用了客户端证书双向认证，简单的MITM代理将完全失效。

2. 实用价值：调试与合规的双重利器

• 支撑理由（事实陈述）： 在实际开发中，LangChain或LlamaIndex等框架的链式调用经常出现“Prompt注入”或“上下文溢出”。通过该代理，开发者可以不修改代码就能看到序列化后的完整JSON，极大降低了排查成本。
• 支撑理由（你的推断）： 对于企业安全团队，这是低成本的“数据防泄露（DLP）”探针。在部署昂贵的网关方案前，可以用此工具快速评估现有LLM应用的风险敞口。
• 反例/边界条件（技术现实）： 实用性受限于部署环境。在桌面端（如ChatGPT客户端）设置代理证书容易，但在移动端App或经过混淆的桌面应用中，绕过SSL Pinning（证书绑定）极其困难，工具的适用范围因此被限制在开发环境或基于浏览器的应用中。

3. 创新性：防御性技术的复用

• 支撑理由（你的推断）： 将经典的Web渗透测试工具（如mitmproxy）迁移至AI数据流分析，这本身虽非算法创新，却是场景化创新。它提出了一种“外部观测”的范式，区别于在代码中打印日志的“内部观测”。
• 反例/边界条件（行业现状）： 市场上已有成熟的API网关（如Portkey, LangSmith）提供类似功能，且无需修改操作系统证书。该文章的工具更像是一个“极客版”的轻量级替代品，创新性更多体现在“DIY”的灵活性上，而非技术突破。

4. 行业影响：推动AI可观测性标准的建立

• 支撑理由（你的推断）： 此类开源工具的普及，会倒逼LLM工具提供商提高透明度。如果社区普遍使用此类工具进行审查，厂商将不得不规范其元数据字段，减少非必要的数据回传。
• 争议点（隐私伦理）： 这是一个双刃剑。虽然可以用来监控企业数据流出，但恶意攻击者也可以利用类似技术在内网嗅探其他员工的AI对话。该工具模糊了“管理员权限”与“攻击者视角”的界限。

5. 可读性与逻辑性

• 支撑理由（事实陈述）： Show HN系列文章通常侧重于代码演示和简短说明。如果文章包含了清晰的抓包对比图（如修改前后的HTTP Payload差异），其逻辑性将非常强，符合工程师“所见即所得”的思维习惯。
• 反例/边界条件（潜在风险）： 若文章仅侧重于代码实现而忽视了证书安装的繁琐步骤说明，普通用户可能会在配置CA证书时卡壳，导致体验下降。

实际应用建议

1. 开发环境调试： 建议将其集成到本地开发环境中，作为Pre-commit Hook或CI/CD流程的一部分，自动检查Prompt中是否包含硬编码的API Key或密码。
2. 成本分析： 利用该工具统计Token消耗。通过分析请求体的大小，精确计算每次调用的Token成本，优化Prompt长度。
3. 安全审计： 定期运行该代理，审查第三方LLM插件是否在用户不知情的情况下上传了本地环境变量或文件列表。

可验证的检查方式

1. 指标检测（Token计数）： 使用该代理捕获10次典型的LLM请求，手动计算Payload中的字符数并与模型提供商（如OpenAI）控制台显示的Token数进行比对，验证工具解析的准确性。
2. 实验观察（敏感数据拦截）： 故意在Prompt中植入模拟的信用卡号，观察代理是否能实时触发告警或高亮显示该字段，测试其作为DLP工具的响应速度。
3. 边界测试（SSE流）： 向LLM发送一个长文本生成请求，观察代理在处理流式响应时是否会截断数据或出现连接重置错误。
4. **兼容性测试（SSL Pinning）：

代码示例

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33

# 示例1：基础HTTP代理服务器（捕获LLM API请求）
from http.server import BaseHTTPRequestHandler, HTTPServer
import urllib.parse

class LLMProxyHandler(BaseHTTPRequestHandler):
    def do_POST(self):
        # 获取请求体内容
        content_length = int(self.headers['Content-Length'])
        post_data = self.rfile.read(content_length)
        
        # 打印请求信息（实际应用中可保存到日志文件）
        print(f"\n[捕获请求] {self.path}")
        print(f"请求头: {dict(self.headers)}")
        print(f"请求体: {post_data.decode('utf-8')}")
        
        # 这里可以添加转发逻辑到真实API
        # response = requests.post('https://api.openai.com/v1/chat/completions', data=post_data)
        
        # 返回模拟响应
        self.send_response(200)
        self.send_header('Content-type', 'application/json')
        self.end_headers()
        self.wfile.write(b'{"status": "captured"}')

def run_proxy(port=8080):
    server_address = ('', port)
    httpd = HTTPServer(server_address, LLMProxyHandler)
    print(f"代理服务器运行在端口 {port}")
    httpd.serve_forever()

# 运行示例
if __name__ == '__main__':
    run_proxy()

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

# 示例2：带证书验证的HTTPS代理（处理加密流量）
from mitmproxy import http
import json

class LLMAddon:
    def request(self, flow: http.HTTPFlow):
        # 只处理LLM API请求
        if "api.openai.com" in flow.request.pretty_host:
            # 打印请求信息
            print(f"\n[HTTPS请求] {flow.request.method} {flow.request.path}")
            print(f"请求头: {flow.request.headers}")
            print(f"请求体: {flow.request.text}")
            
            # 可以在这里修改请求
            # flow.request.text = json.dumps({"model": "gpt-3.5-turbo", "messages": [...]})

    def response(self, flow: http.HTTPFlow):
        # 打印响应信息
        print(f"\n[HTTPS响应] {flow.response.status_code}")
        print(f"响应体: {flow.response.text[:200]}...")  # 只打印前200字符

# 使用mitmproxy命令行工具运行此脚本
# mitmproxy -s llm_proxy.py --set block_global=false

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47

# 示例3：请求日志记录与分析工具
import json
from datetime import datetime
import os

class LLMRequestLogger:
    def __init__(self, log_dir="llm_logs"):
        self.log_dir = log_dir
        os.makedirs(log_dir, exist_ok=True)
    
    def log_request(self, request_data):
        # 生成带时间戳的日志文件名
        timestamp = datetime.now().strftime("%Y%m%d_%H%M%S")
        log_file = os.path.join(self.log_dir, f"request_{timestamp}.json")
        
        # 添加元数据
        log_entry = {
            "timestamp": datetime.now().isoformat(),
            "request": request_data,
            "analysis": self._analyze_request(request_data)
        }
        
        # 保存到文件
        with open(log_file, "w") as f:
            json.dump(log_entry, f, indent=2)
        
        print(f"请求已记录到: {log_file}")
    
    def _analyze_request(self, request_data):
        # 简单分析请求内容
        analysis = {
            "model": request_data.get("model", "unknown"),
            "message_count": len(request_data.get("messages", [])),
            "has_system_prompt": any(msg.get("role") == "system" for msg in request_data.get("messages", []))
        }
        return analysis

# 使用示例
logger = LLMRequestLogger()
sample_request = {
    "model": "gpt-3.5-turbo",
    "messages": [
        {"role": "system", "content": "You are a helpful assistant"},
        {"role": "user", "content": "Hello!"}
    ]
}
logger.log_request(sample_request)

案例研究

1：某金融科技公司的智能客服系统调试

1：某金融科技公司的智能客服系统调试

背景: 该公司正在开发基于 GPT-4 的内部智能客服助手，旨在帮助员工快速查询复杂的金融产品条款和合规文档。由于金融数据的敏感性，数据隐私是首要考量。

问题: 在开发初期，团队发现 LLM 的响应经常出现幻觉或引用过期的条款。开发人员无法确定是前端发送的上下文不完整，还是后端提示词构建逻辑有误。此外，合规部门要求必须审查发送给 API 的 Prompt 中是否意外包含了用户的个人身份信息（PII）。

解决方案: 团队在测试环境中部署了一个中间人代理工具（如文中提到的 mitmproxy），将其配置在应用程序和 OpenAI API 之间。通过该工具，他们能够实时解密并查看所有流出的 HTTPS 请求内容。

效果:

1. 通过检查流量，团队发现前端在处理多轮对话时，偶尔会将上一轮用户的敏感身份证号作为上下文拼接发送给 LLM。
2. 开发人员利用捕获到的真实请求日志，迅速修正了 Prompt 模板中的逻辑漏洞，将模型回答的准确率提升了 30%，并确保了符合数据隐私合规要求。

2：某 SaaS 初创企业的成本控制与优化

2：某 SaaS 初创企业的成本控制与优化

背景: 这家初创企业为其用户集成了 AI 写作助手功能，使用 Claude 2 API 来生成营销文案。随着用户量的增长，其 API 调用成本急剧上升，甚至超过了预算预期。

问题: 虽然后端有日志记录 Token 使用量，但无法区分是哪些具体的业务操作导致了 Token 的过度消耗。例如，是用户单次输入过长，还是系统在后台进行了不必要的重复请求？由于缺乏透明的请求细节，优化工作无从下手。

解决方案: 工程师在本地开发环境和预发布环境中接入了一个网络代理工具，用于拦截和可视化发送给 LLM 提供商的所有 JSON Payload。

效果:

1. 分析显示，系统的一个“自动重试”机制存在 Bug，在模型偶尔超时会触发无限重试，导致单次操作产生了数百次无效请求。
2. 代理工具还帮助团队发现，前端发送给 API 的上下文包含了大量无关的 HTML 标签，这些标签浪费了大量的 Token。
3. 修复这两个问题后，该公司每月的 API 账单降低了约 45%。

3：独立开发者的多模型适配器开发

3：独立开发者的多模型适配器开发

背景: 一名独立开发者正在构建一款名为“PolyGlot”的桌面客户端，旨在允许用户在一个界面中同时使用 ChatGPT、Claude 和 Llama 2 等不同模型。

问题: 不同模型提供商的 API 参数差异很大（例如 OpenAI 使用 messages 格式，而其他一些模型使用 prompt 格式）。开发者在编写适配层代码时，经常因为参数映射错误导致请求失败，且传统的 HTTP 调试工具难以格式化显示复杂的 JSON 流。

解决方案: 开发者使用专门的 Mitmproxy 脚本来拦截请求。该脚本不仅展示请求内容，还自动检测并高亮显示不同 API 之间参数结构的差异。

效果:

1. 开发者能够直观地对比发送给不同服务商的请求结构，迅速发现针对 Claude 的请求中缺少了 stop_sequences 参数。
2. 这大大缩短了调试周期，使得该工具能够快速支持新的 LLM 服务商，并确保了请求格式的高兼容性。

最佳实践

最佳实践指南

实践 1：建立完整的流量审计机制

说明: 仅仅查看发送内容是不够的，需要建立系统化的审计流程来持续监控 LLM 工具的数据传输行为。这包括记录请求频率、数据大小、敏感信息泄露情况以及异常流量模式。通过 MitM 代理，你可以获得对数据流向的完全可见性，从而识别潜在的安全风险或合规问题。

实施步骤:

1. 部署 MitM 代理服务器（如 mitmproxy 或类似工具）
2. 配置 LLM 客户端工具的代理设置，将流量导向代理服务器
3. 设置日志记录系统，捕获所有 HTTPS 请求和响应
4. 建立定期审查机制，分析日志中的敏感数据传输情况
5. 为不同类型的 LLM 工具建立流量基线，便于异常检测

注意事项: 确保代理服务器的安全配置，防止成为新的攻击面。所有捕获的日志数据应加密存储，并严格控制访问权限。

实践 2：实施敏感数据脱敏与过滤

说明: 在使用 MitM 代理检查 LLM 工具发送的数据时，可能会接触到高度敏感的信息（如 API 密钥、个人身份信息、专有代码等）。必须实施严格的敏感数据脱敏策略，确保这些信息在日志和监控界面中得到适当保护，同时遵守数据保护法规（如 GDPR、CCPA）。

实施步骤:

1. 在 MitM 代理中配置数据脱敏规则，识别并遮蔽敏感字段
2. 建立敏感数据分类标准，明确哪些数据类型需要特殊处理
3. 实施实时过滤机制，防止敏感数据写入持久化存储
4. 为审计人员提供受控的查看机制，支持按需解密（需权限审批）
5. 定期更新脱敏规则，适应新的数据类型和法规要求

注意事项: 脱敏规则应与业务需求平衡，避免过度脱敏导致审计失效。同时要确保脱敏过程本身不可逆，防止数据泄露。

实践 3：验证 API 密钥与凭证管理

说明: 许多 LLM 工具在客户端硬编码 API 密钥或使用不安全的凭证存储方式。通过 MitM 代理，可以验证这些工具是否正确处理凭证，包括密钥的传输方式、存储位置以及是否存在泄露风险。这是防止 API 密钥泄露和未授权访问的关键措施。

实施步骤:

1. 使用 MitM 代理捕获所有 HTTP 头部和请求体，查找 API 密钥
2. 检查密钥是否以明文传输，或是否使用了适当的加密机制
3. 验证工具是否将凭证存储在安全位置（如系统密钥链）
4. 测试工具在代理环境下的认证流程，确保不会因代理而中断
5. 建立凭证泄露告警机制，当检测到异常传输模式时触发警报

注意事项: 某些工具可能检测代理环境并拒绝工作，需要准备绕过方案。同时要确保测试环境与生产环境隔离，避免意外影响生产流量。

实践 4：监控数据出境与合规性

说明: LLM 服务通常由第三方提供商托管，可能涉及数据跨境传输。通过 MitM 代理，可以验证数据实际发送的目的地，确保符合数据本地化要求和跨境传输政策。这对于受监管行业（如金融、医疗）尤为重要。

实施步骤:

1. 配置 MitM 代理记录所有请求的目标域名和 IP 地址
2. 建立允许的目的地白名单，识别异常的数据出境行为
3. 分析请求体内容，判断是否包含不应出境的敏感数据
4. 集成地理位置数据库，识别数据最终存储位置
5. 生成合规性报告，证明数据传输符合相关法规要求

注意事项: 某些 LLM 提供商可能使用 CDN 或分布式基础设施，导致目的地判断复杂。需要结合网络分析和提供商文档进行准确判断。

实践 5：建立异常行为检测系统

说明: 持续监控 LLM 工具的流量模式，建立基线并识别异常行为。异常可能表示安全漏洞、工具配置错误或恶意活动。通过 MitM 代理收集的数据，可以训练模型或设置规则来自动检测这些异常。

实施步骤:

1. 收集正常操作期间的流量数据，建立行为基线
2. 定义异常指标，如请求频率突增、数据量异常、未知目的地等
3. 实施实时监控规则，当检测到异常时触发告警
4. 建立事件响应流程，调查异常行为的根本原因
5. 定期更新检测规则，适应新的 LLM 工具和攻击模式

注意事项: 避免误报导致的告警疲劳，需要精细调整检测阈值。同时要考虑 LLM 使用的自然变化（如高峰时段），设置合理的动态基线。

实践 6：实施最小权限代理配置

说明: MitM 代理本身具有强大的拦截能力，必须遵循最小权限

学习要点

• 该工具通过充当中间人代理（MitM），能够解密并拦截本地大模型工具发送给 API 的所有网络流量。
• 它允许开发者直观地查看工具发送的完整请求体，从而验证是否存在敏感数据泄露或隐私风险。
• 用户可以实时检查发送给 OpenAI 等提供商的提示词和系统指令，确认其内容是否符合预期。
• 该工具支持自动解密 TLS 流量，解决了常规网络抓包工具无法查看 HTTPS 加密内容的痛点。
• 它具备高度的可配置性，允许用户根据需要修改请求或响应内容，便于进行调试和测试。
• 项目开源且易于部署，旨在填补当前市场上缺乏针对本地 AI 工具流量分析方案的空白。

常见问题

1: 什么是 Man-in-the-Middle (MitM) 代理，为什么我需要用它来监控 LLM 工具？

1: 什么是 Man-in-the-Middle (MitM) 代理，为什么我需要用它来监控 LLM 工具？

A: Man-in-the-Middle (MitM) 代理是一种位于客户端（如您的本地应用程序或浏览器）和服务器（如 OpenAI 或 Anthropic 的 API）之间的网络工具。它拦截并记录两者之间传递的流量。

在 LLM（大型语言模型）的上下文中，许多开发工具和库在后台静默发送 API 请求。使用 MitM 代理可以让您“看到”这些请求的原始内容。这有助于您验证工具是否发送了过多的 Token、检查是否有敏感数据（如 API Key 或个人身份信息 PII）被意外上传，或者仅仅是调试网络连接问题。

2: 我该如何在本地设置和运行这个代理工具？

2: 我该如何在本地设置和运行这个代理工具？

A: 虽然具体的安装步骤取决于您使用的具体开源项目，但通常的流程如下：

1. 安装与运行：通过命令行下载并运行该代理脚本（例如 python proxy.py）。它会在本地的一个特定端口（如 8080）上启动一个监听服务。
2. 配置环境变量：您需要将目标 LLM 工具的 HTTP 代理设置指向这个本地端口。在 Unix/Linux/macOS 系统中，通常通过设置 HTTP_PROXY 和 HTTPS_PROXY 环境变量（例如 export HTTPS_PROXY=http://localhost:8080）来实现。
3. 信任证书：由于 HTTPS 流量是加密的，MitM 代理需要解密并重新加密流量。这通常涉及在您的操作系统或浏览器中安装并信任该代理生成的一个自签名根证书（CA 证书）。

3: 使用这种代理是否会暴露我的 API Key 或敏感数据？

3: 使用这种代理是否会暴露我的 API Key 或敏感数据？

A: 这是一个非常关键的安全问题。

• 本地风险：如果您在本地计算机上运行此代理，流量仅通过您的本地回环接口（localhost），数据通常不会离开您的机器。在这种情况下，只要您的机器是安全的，风险相对较低。
• 日志风险：该代理很可能会在终端或日志文件中打印出完整的请求体，其中包含 API Key 和 Prompt 内容。请务必小心处理这些日志，不要将它们截图发布到公共论坛或上传到代码仓库。
• 第三方风险：如果您使用的是托管在互联网上的第三方代理服务，或者将代理配置转发到了外部服务器，那么该服务器的拥有者理论上可以看到您的所有流量，包括 API Key。建议仅使用开源并在本地运行的代码。

4: 为什么开启代理后，我的 LLM 应用程序报错“证书验证失败”？

4: 为什么开启代理后，我的 LLM 应用程序报错“证书验证失败”？

A: 这是因为 HTTPS 协议旨在防止中间人窃听数据。当您使用 MitM 代理时，代理向您的应用程序出示的是它自己生成的自签名证书，而不是 OpenAI 或 Google 等官方机构的证书。

为了解决这个问题，您必须将代理生成的根证书安装到您的系统受信任的根证书颁发机构存储中。一旦您的系统信任了该代理的证书，代理生成的用于拦截特定网站（如 api.openai.com）的证书也会被信任，从而消除报错。

5: 这个工具能支持所有基于 LLM 的软件吗（如 ChatGPT 客户端、LangChain、Cursor 等）？

5: 这个工具能支持所有基于 LLM 的软件吗（如 ChatGPT 客户端、LangChain、Cursor 等）？

A: 原则上，只要该软件遵守操作系统的网络代理设置（环境变量）或允许配置自定义的 HTTP/HTTPS 代理端点，该工具就可以工作。

• 命令行工具/Python 脚本（如 LangChain）：通常完美支持，通过设置 HTTPS_PROXY 环境变量即可。
• IDE 插件（如 VS Code 插件、Cursor）：部分支持。有些 IDE 有自己的网络栈，可能忽略系统代理设置，需要在 IDE 的设置面板中手动配置代理地址。
• 浏览器应用：需要在浏览器的代理设置或操作系统的网络设置中进行配置。

6: 监控流量会影响我的 LLM 响应速度或性能吗？

6: 监控流量会影响我的 LLM 响应速度或性能吗？

A: 会有轻微的影响，但在大多数开发场景下可以忽略不计。

MitM 代理需要执行以下操作：接收请求 -> 解密 SSL/TLS -> 读取/记录日志 -> 重新加密 -> 发送至服务器。对于服务器返回的响应也需要同样的逆向过程。虽然增加了额外的计算开销和网络跳转，但相比于 LLM 模型生成文本所需的推理时间，网络代理带来的延迟通常非常小（毫秒级），不会明显拖慢您的使用体验。

7: 除了查看请求内容，我还能用这个代理做什么？

7: 除了查看请求内容，我还能用这个代理做什么？

A: 除了基本的“查看”功能，这类代理工具通常还具有以下高级用途：

• 修改请求：有些高级 MitM 工具允许您在请求发送给 LLM 之前实时修改 Prompt 或参数（如 temperature），这对于测试不同的提示词工程非常有用，而无需修改代码。
• 模拟错误：您可以配置代理拦截请求并返回 500 错误或超时，以测试您的应用程序在 LLM API

思考题

## 挑战与思考题

### 挑战 1: [简单]

问题**: 许多 LLM 应用（如 Cursor 或 ChatGPT 客户端）默认使用系统代理设置。请配置一个简单的 HTTP/HTTPS 代理（如使用 mitmproxy 或 Charles），并修改操作系统的网络设置，使得你可以成功捕获浏览器或某个桌面应用发出的明文 HTTP 流量。尝试找到一个非加密的 API 请求并记录其路径。

提示**: 区分 HTTP 和 HTTPS 流量的差异。对于非加密的 HTTP 流量，代理只需要处理 CONNECT 方法之外的普通请求；你需要检查代理的日志面板，寻找 GET 或 POST 请求。

引用

• 原文链接: https://github.com/jmuncor/sherlock
• HN 讨论: https://news.ycombinator.com/item?id=46799898

注：文中事实性信息以以上引用为准；观点与推断为 AI Stack 的分析。

站内链接

• 分类： 开发工具 / 安全
• 标签： LLM / MitM / 代理 / 可视化 / 数据传输 / 调试 / 网络安全 / 工具链
• 场景： 大语言模型

相关文章

• Show HN: 一款用于监控 LLM 工具数据传输的 MitM 代理
• 展示一款可监控LLM工具数据传输的MitM代理
• 展示 LLM 工具数据传输的中间人代理
• Show HN：一款用于监控 LLM 工具数据传输的中间人代理
• 🤖解密Codex智能体闭环：AI如何自主进化？ 本文由 AI Stack 自动生成，包含深度分析与可证伪的判断。