威脅行為者正在有條不紊地尋找配置錯誤的代理伺服器，這些伺服器可能提供對商業大型語言模型 (LLM) 服務的存取權。從 12 月下旬開始的持續攻擊活動中，攻擊者探測了超過 73 個 LLM 端點，並產生了超過 80,000 個會話。
據威脅監控平台 GreyNoise 的說法，威脅行為者使用低雜訊提示來查詢端點，試圖確定所存取的 AI 模型，而不會觸發安全警報。
灰色行動
GreyNoise 在一份報告中稱，在過去的四個月裡，其 Ollama 蜜罐共捕獲了 91,403 次攻擊，這些攻擊屬於兩個不同的攻擊活動。其中一項攻擊行動始於10月，目前仍在進行中，聖誕節前後48小時內會話數激增至1,688次。此攻擊利用伺服器端請求偽造（SSRF）漏洞，使攻擊者能夠強制伺服器連接到攻擊者控制的外部基礎設施。
研究人員表示，此次攻擊背後的攻擊者利用 Ollama 的模型拉取功能，透過 MediaURL 參數注入惡意註冊表 URL 和 Twilio SMS webhook 集成，從而實現了其目標。
然而，根據所使用的工具，GreyNoise 指出，該活動很可能來自安全研究人員或漏洞賞金獵人，因為他們使用了 ProjectDiscovery 的 OAST（帶外應用程式安全測試）基礎設施，該基礎設施通常用於漏洞評估。

「OAST回調是標準的漏洞研究技術。但這次攻擊的規模以及聖誕節期間的時機表明，一些灰色駭客組織正在試探漏洞的邊界。」— GreyNoise

遙測資料顯示，該攻擊活動源自 27 個國家的 62 個 IP 位址，這些位址表現出類似 VPS 的特徵，而不是殭屍網路運作的跡象。
威脅行為者活動
GreyNoise 觀察到第二次攻擊活動於 12 月 28 日開始，並偵測到大規模枚舉活動，旨在識別暴露或配置錯誤的 LLM 端點。在 11 天的時間裡，該活動產生了 80,469 個會話，其中兩個 IP 位址系統地探測了超過 73 個模型端點，使用了 OpenAI 相容格式和 Google Gemini API 格式。目標機型名單包括所有主要供應商的機型，其中包括：

1. OpenAI（GPT-4o 及其變體）
2. 人本主義（克勞德·索內特、作品、俳句）
3. Meta（Llama 3.x）
4. DeepSeek（DeepSeek-R1）
5. Google（Gemini）
6. 米斯特拉爾
7. 阿里巴巴（Qwen）
8. xAI（Grok）

為了避免在測試對 LLM 服務的存取權時發出安全警報，攻擊者使用了無害的查詢，例如簡短的問候語、空輸入或事實性問題。GreyNoise 表示，掃描基礎設施先前曾與廣泛的漏洞利用活動有關，這表明枚舉是組織偵察工作的一部分，旨在編目可訪問的 LLM 服務。
GreyNoise 報告並未聲稱發現了利用漏洞、資料竊取或模型濫用行為，但該活動仍表明存在惡意意圖。研究人員警告說：“八萬份枚舉請求代表著投資”，並補充說，“威脅行為者不會在沒有利用該地圖的計劃的情況下，如此大規模地繪製基礎設施地圖。”
為了防禦這種活動，建議將 Ollama 模型拉取限制在受信任的註冊表中，應用出口過濾，並在 DNS 層級封鎖已知的 OAST 回呼網域。針對枚舉的措施包括限制可疑 ASN 的速率，以及監控與自動掃描工具相關的 JA4 網路指紋。

資料來源：https://www.bleepingcomputer.com/news/security/hackers-target-misconfigured-proxies-to-access-paid-llm-services/