何が起きたか
2026 年 6 月 12 日、Sysdig Threat Research Team は、脅威アクターが公開された、認証なしの Ollama モデルサーバーを自律型ペネトレーションテストフレームワークの推論エンジンとして使用しているのを観察しました。攻撃者はモデルを多段階脆弱性発見および悪用パイプラインに直接統合し、「LLMjacking」の進化を有料推論 API の盗難から自己ホストされている AI インフラストラクチャの自律型攻撃操作への武装化を示しています。
なぜ重要か
これは新しい攻撃クラスを表しています: 公開されている自己ホストされた AI モデルを多段階サイバー攻撃の自律型意思決定層として使用します。従来のマルウェアとは異なり、この攻撃には推論機能が組み込まれています。モデルは優先する脆弱性、悪用を作成する方法、実行するタイミングに関する戦術的決定を行います。脅威アクターはフレームワークアーキテクチャ全体をキャプチャしました。これは検出に使用できる `VAPTb3gin` および `VAPTfin` のようなシグネチャを明らかにして、すべてのリクエストで完全な指示を送信するためです。これは AI インフラストラクチャ盗難から AI 駆動型自律型攻撃操作へのシフトを示しています。
攻撃経路
攻撃者は認証なしで公開された Ollama モデルサーバーを発見し、認証なしのモデル推論を自動化された多段階攻撃フレームワーク (VAPT) に統合し、フレームワークはターゲットをスキャンし、既知の CVE と照合し、概念実証の悪用を合成し、モデルが各段階で自律的な決定を行いながら侵害を試みます。攻撃者が完全な攻撃パイプラインを制御します
影響を受けるシステム
Ollama モデルサーバー (デフォルトの認証なし HTTP モード搭載のすべてのバージョン)
緩和策
Ollama サーバーのインターネット公開をブロックし、リバースプロキシまたはネットワーク制御を通じて認証を追加し、すべてのモデルエンドポイントに API キーが必要であり、`VAPTb3gin`、`VAPTfin`、および `echo VAPTb3gin; id; echo VAPTfin` のようなコマンドシーケンスなどの攻撃ツールマーカーの Ollama エンドポイントを監視します