研究人員最近發現，網路犯罪分子正將目標轉向驅動現代人工智慧（AI）的系統。在2025年10月至2026年1月期間，一個專門設置的蜜罐（安全專家為捕捉駭客而設置的陷阱）記錄了91403次攻擊會話。這項調查由研究公司 GreyNoise 進行，該公司設置了名為Ollama 的熱門人工智慧工具的虛假安裝環境作為誘餌。研究表明，並非只有一個組織在作案，而是有兩個獨立的行動正在進行，各自試圖以不同的方式利用人工智慧的蓬勃發展。
打電話回家的技巧
第一批攻擊者使用了一種名為伺服器端請求偽造（SSRF）的技術，這是一種駭客欺騙公司伺服器，使其連接到自己電腦的伎倆。研究人員指出，攻擊者專門針對 Ollama 和Twilio（一款流行的即時通訊服務）發動攻擊。透過發送“惡意註冊表 URL”，他們可以強制 AI 伺服器“回傳”到他們自己的系統。值得注意的是，根據 GreyNoise 的部落格文章，這種活動在聖誕節期間出現了“急劇激增”，僅在 48 小時內就發生了 1688 次會話。雖然其中一些可能是安全研究人員或漏洞賞金獵人為了獲得獎勵而發起的攻擊，但時間點表明，他們是在 IT 團隊休假期間進行攻擊。
為人工智慧模型建立打擊名單
第二起攻擊活動更令人擔憂。從2025年12月28日開始，兩個特定的數位位址（45.88.186.70和204.76.203.125）對超過73個不同的AI終端進行了大規模、有條不紊的搜尋。調查人員發現，在短短11天內，這兩個地址就產生了80469個會話，以測試它們能夠存取哪些AI模型。
研究人員表示，這些是專業行為者（Actor），可能正在進行偵察，因為他們當時還沒有試圖破壞系統。此外，他們還注意到，這些行為者透過測試來自 Anthropic（Claude）、Meta（Llama）、xAI（Grok）和DeepSeek等知名公司的模型來「建立目標清單」。

此次攻擊測試了與 OpenAI 兼容的 API 格式和 Google Gemini 格式。所有主流模型系列都出現在探測列表中：OpenAI（GPT-4o 及其變體）、Anthropic（Claude Sonnet、Opus、Haiku）、Meta（Llama 3.x）、DeepSeek（DeepSeek-R1）、Google（Gemini）、Mistral、阿里巴巴（Qwen）和 xAI（Grok）。

進一步調查顯示，這些攻擊者使用諸如「美國有多少州？」之類的簡單、無害的問題，只是為了看看哪些模型會做出反應。
如何保護您的系統
為了確保這些系統的安全，GreyNoise 的研究人員建議企業僅允許從可信任來源下載人工智慧模型。此外，也需警惕那些反覆詢問相同簡單問題的密集請求。這些攻擊規模龐大，涉及 27 個國家的 62 個來源 IP 位址，這清楚地表明駭客正在策劃下一步的大規模行動。
專家就人工智慧風險發出警告
安全團隊將這些發現視為更廣泛風險的早期預警。 Zenity安全策略副總裁Chris Hughes獨家向 Hackread.com 分享了他的觀點，他指出，雖然探測模型令人擔憂，但眼下的危險在於人工智慧代理與公司系統的互動方式。
Hughes表示：雖然這是攻擊者首次公開確認以人工智慧系統為目標，但這肯定不會是最後一次。他解釋說，從這些探測中獲得的資訊很可能被用於未來的攻擊，當人工智慧工具在缺乏適當監管的情況下存取企業系統或雲端環境時，風險會更大。
Hughes補充道：隨著攻擊者從探測模型轉向利用代理，那些只關注以模型為中心的安全的組織將不得不應對他們從未預料到的事件。

資料來源：https://hackread.com/hackers-attack-ai-systems-fake-ollama-servers/