黑客正系统性地搜寻配置不当的代理服务器，以获取对商用大型语言模型（LLM）服务的访问权限。

自去年12月下旬开始的一场持续攻击活动中，攻击者已探测超过73个LLM端点并生成了逾8万次会话。

据威胁监控平台GreyNoise分析，威胁行为者使用低噪声提示词查询端点，试图在不触发安全警报的情况下确定所访问的AI模型。

灰帽行动

GreyNoise在报告中指出，过去四个月中其Ollama蜜罐共捕获91,403次攻击，这些攻击分属两个不同的活动集群。

其中一项行动始于去年10月且仍在持续，在圣诞节期间的48小时内出现1,688次会话峰值。该行动利用服务器端请求伪造（SSRF）漏洞，迫使服务器连接至攻击者控制的外部基础设施。

研究人员表示，该行动的攻击者通过利用Ollama的模型拉取功能，通过MediaURL参数注入恶意注册表URL和Twilio短信网络钩子集成来实现其目标。

但根据所用工具判断，GreyNoise指出该活动很可能源自安全研究人员或漏洞赏金猎人，因为他们使用了ProjectDiscovery的OAST（带外应用安全测试）基础设施——这类设施通常用于漏洞评估。

"OAST回调是标准的漏洞研究技术。但其规模和圣诞节时间点表明，这是游走于灰色地带的边界测试行为" —— GreyNoise

遥测数据显示，该活动源自27个国家的62个IP地址，这些地址呈现VPS特征而非僵尸网络活动迹象。

活动时间线

来源：GreyNoise

威胁行为者活动

GreyNoise观察到第二场始于12月28日的攻击活动，检测到攻击者正通过高频率枚举来识别暴露或配置不当的LLM端点。

在11天内，该活动产生了80,469次会话，两个IP地址系统性地使用OpenAI兼容格式和Google Gemini API格式探测了超过73个模型端点。

目标模型列表涵盖所有主流供应商，包括：
- OpenAI（GPT-4o及其变体）
- Anthropic（Claude Sonnet、Opus、Haiku）
- Meta（Llama 3.x）
- DeepSeek（DeepSeek-R1）
- Google（Gemini）
- Mistral
- 阿里巴巴（Qwen）
- xAI（Grok）

为避免测试LLM服务访问权限时触发安全警报，攻击者使用了简短问候语、空输入或事实性问答等无害查询。

GreyNoise表示，该扫描基础设施此前曾与大规模漏洞利用活动关联，这表明枚举行为是有组织侦察行动的一部分，旨在编制可访问LLM服务的目录。

GreyNoise报告未声称观察到发现后的利用行为、数据窃取或模型滥用，但该活动仍暗示着恶意意图。

研究人员警告称："八万次枚举请求意味着资源投入"，并补充道："威胁行为者不会在没有使用计划的情况下进行如此大规模的基础设施测绘。"

为防御此类活动，建议将Ollama模型拉取限制在可信注册表，实施出口过滤，并在DNS层级拦截已知的OAST回调域名。

针对枚举的防护措施包括：对可疑自治系统号（ASN）进行速率限制，以及监控与自动化扫描工具关联的JA4网络指纹。