事件经过
2026年6月12日,Sysdig威胁研究团队观察到一个威胁行为者使用一个公开暴露、未认证的Ollama模型服务器作为自主渗透测试框架的推理引擎。攻击者将该模型直接集成到一个多阶段漏洞发现和利用管道中,标志着"LLMjacking"从付费推理API的盗窃演变为自托管AI基础设施的自主进攻操作的武装化。
影响分析
这代表了一个新型攻击类别:使用暴露的自托管AI模型作为多阶段网络攻击的自主决策层。与传统恶意软件不同,该攻击内置了推理能力——该模型在每个阶段做出战术决策,决定优先考虑哪些漏洞、如何制作漏洞利用以及何时执行。威胁行为者捕获了完整的框架架构,因为它在每个请求上发送完整的指令,揭示了可用于检测的`VAPTb3gin`和`VAPTfin`等特征。这证明了从AI基础设施盗窃向AI驱动的自主进攻操作的转变。
攻击途径
攻击者发现一个公开暴露、无身份验证的Ollama模型服务器;将未认证的模型推理集成到自动化多阶段进攻框架(VAPT)中;框架扫描目标、将其与已知CVE匹配、合成概念验证漏洞利用、尝试妥协,模型在每个阶段做出自主决策;攻击者控制完整的进攻管道
受影响系统
Ollama模型服务器(所有默认未认证HTTP模式的版本)
缓解措施
阻止Ollama服务器的互联网暴露;通过反向代理或网络控制添加身份验证;为所有模型端点要求API密钥;监控Ollama端点以查找进攻工具标记,如`VAPTb3gin`、`VAPTfin`和命令序列如`echo VAPTb3gin; id; echo VAPTfin`