何が起きたか
2026年6月17日、Sysdig Threat Research Teamは、2026年6月12日の侵害に関する調査を発表しました。脅威アクターは、公開され認証されていないOllamaモデルサーバー(ポート11434)を完全に自動化された多段階の攻撃パイプラインに組み込みました。AIモデルは自律的にターゲットをスキャンし、既知の脆弱性とマッチングし、概念実証エクスプロイトを作成し、侵害を試行しました — すべてのステップで人間の関与なしに意思決定を行いました。Sysdigは攻撃者のシステムプロンプトから完全なフレームワークアーキテクチャをキャプチャしました。これはLLMjackingの最新の進化であり、Sysdigは2024年にこの用語を最初に造語しました。既知の露出したOllamaインスタンスは約175,000存在しています。
なぜ重要か
LLMjackingはAPI再販のための認証情報窃取から完全なエージェント型攻撃ツールへ進化しました — 露出したAIコンピュートは、単なるコスト窃取ターゲットではなく、自律攻撃パイプラインの脳となりました。これは研究者が理論化していたことを実環境で検証します。有能なローカルモデル + インターネット露出サーバー = 攻撃者のための無料の自律レッドチーム機能。175,000の露出したOllamaインスタンスは、大規模で、ほぼ対応されていない攻撃対象領域を表しています。
適用範囲
自社ホストAI推論サーバー(Ollama、vLLMなど)を実行している組織は、公開露出について直ちに監査する必要があります — 認証を強制し、ポート11434(および同等のもの)をプライベートネットワークに制限してください。クラウドセキュリティチームは、AI推論サーバー露出を外部攻撃対象領域スキャンに追加する必要があります。