LLMjacking Berkembang: Server Ollama yang Terbuka Disilahgunakan sebagai Mesin Reasoning AI untuk Framework Offensive Otonom

Pada 12 Juni 2026, Threat Research Team Sysdig mengamati aktor ancaman menyalahgunakan server model Ollama yang terbuka secara publik dan tidak terautentikasi sebagai backend reasoning untuk framework hacking offensive multi-stage yang mengidentifikasi dirinya sebagai 'VAPT'. Aktor menghubungkan inference model tanpa autentikasi ke dalam pipeline yang melakukan service fingerprinting (CPE-mapped), vulnerability matching, web reconnaissance, blind time-based SQL injection payload synthesis dengan filter evasion, credential extraction, dan privilege-escalation orchestration hingga remote code execution terkonfirmasi. Framework mengirimkan instruksi tahap lengkap pada setiap panggilan model (memungkinkan Sysdig menangkap arsitektur lengkapnya), memberlakukan output JSON yang dapat diparsing mesin, dan menggunakan urutan marker deteksi (echo VAPTb3gin; id; echo VAPTfin) untuk mengonfirmasi kompromi. Sysdig menerbitkan penelitian pada 17 Juni 2026. Selama jendela pengamatan, probe menargetkan rentang lab privat; aktor tampaknya sedang menyesuaikan framework.

Kira-kira 175.000 instance Ollama dapat dijangkau secara publik di 130+ negara tanpa autentikasi, menyediakan komputasi AI gratis untuk penyerang. Insiden ini menandai evolusi dari LLMjacking-as-API-theft menjadi LLMjacking-as-autonomous-offensive-agent: kapasitas model yang dicuri kini menjadi otak pengambil keputusan dari rantai exploit yang self-driving. Organisasi apa pun yang menjalankan Ollama yang self-hosted atau server model unauthenticated serupa (llama.cpp, LM Studio listening pada 0.0.0.0) berada langsung dalam radius dampak — komputasi mereka dapat disita dan disilahgunakan tanpa kredensial apa pun yang dicuri.

Penyerang menemukan instance Ollama yang terekspos internet (port 11434, tidak ada autentikasi secara default). Penyerang mengirimkan urutan prompt-engineering terstruktur ke API model, menggunakan model sebagai mesin reasoning untuk setiap tahap pipeline penetration-testing otonom (fingerprinting → CVE matching → exploit synthesis → SQL injection → credential extraction → RCE).

Ollama (semua versi) dengan konfigurasi default binding ke 0.0.0.0:11434 tanpa autentikasi; juga server model open-weight self-hosted apa pun yang terekspos ke internet tanpa auth proxy.

Bind Ollama ke localhost saja (set OLLAMA_HOST=127.0.0.1). Blokir port 11434 di tingkat firewall/security-group. Tempatkan authenticated reverse proxy (nginx + basic auth atau mTLS) di depan endpoint model yang dapat diakses secara eksternal. Monitor untuk IOC: string marker VAPTb3gin/VAPTfin, IP sumber 122.183.48.82/35/195. Lihat: https://www.sysdig.com/blog/llmjacking-evolved-attackers-are-using-stolen-ai-compute-to-build-offensive-agentic-tools