文章总结： 黑客正利用配置不当的代理服务器窃取商用大模型访问权限，GreyNoise监测到始于2025年底的攻击活动已探测73个端点并生成8万会话。攻击者使用低噪声提示词规避警报，目标涵盖OpenAI及Google等主流服务商。此次大规模侦察显示出明显的恶意意图，建议通过限制模型拉取来源、实施出口过滤及阻断OAST回调域等手段进行防御。 综合评分： 88 文章分类： 威胁情报,AI安全,网络安全,漏洞分析

黑客瞄准配置不当代理服务器 意图窃取商用大模型访问权限

胡金鱼 胡金鱼

嘶吼专业版

2026年1月20日 14:00 北京

黑客正在系统性地搜寻配置不当的代理服务器，试图通过这些服务器获取对商用大语言模型（LLM）服务的访问权限。

在这场始于2025年12月下旬的持续攻击活动中，攻击者已探测了超过73个LLM端点，并生成了8万多个会话。

据威胁监测平台GreyNoise称，这些威胁组织使用”低噪声“提示词来查询端点，试图在不触发安全警报的情况下，确认所访问的AI模型类型。

灰帽行动

GreyNoise 在一份报告中指出，在过去四个月里，其Ollama蜜罐共捕获了91,403次攻击，这些攻击分属两个截然不同的活动。

其中一个行动始于10月，目前仍在活跃中，在圣诞节前后的48小时内出现了1,688次会话的峰值。该行动利用 服务器端请求伪造（SSRF）漏洞，迫使服务器连接到攻击者控制的外部基础设施。

该行动背后的攻击者通过利用 Ollama 的模型拉取功能，注入恶意注册表 URL，并通过 MediaURL 参数集成 Twilio SMS 网络钩子来实现其目标。

然而，基于所使用的工具可以判断出，该活动可能源自安全研究人员或漏洞赏金猎人，因为他们使用了 ProjectDiscovery 的OAST（带外应用安全测试）基础设施，这通常用于漏洞评估。

遥测数据显示，该活动源自27个国家的62个IP地址，这些地址表现出类似 VPS 的特征，而非僵尸网络操作的迹象。

活动时间轴

第二个活动始于12月28日，研究员检测到大规模的枚举行为，旨在识别暴露或配置不当的 LLM 端点。 在11天内，该活动生成了80,469个会话，两个IP地址使用 OpenAI 兼容格式和 Google Gemini API 格式，系统性地探测了73个以上的模型端点。

目标模型列表涵盖了所有主要提供商的产品，包括：

·OpenAI (GPT-4o 及变体)

·Anthropic (Claude Sonnet, Opus, Haiku)

·Meta (Llama 3.x)

·DeepSeek (DeepSeek-R1)

·Google (Gemini)

·Mistral

·Alibaba (Qwen)

·xAI (Grok)

为了在测试对 LLM 服务的访问时避免触发安全警报，攻击者使用了无害的查询，例如简短的问候语、空输入或事实性问题。

该扫描基础设施此前曾与广泛的漏洞利用活动有关联，这表明此次活动是有组织侦察工作的一部分，目的是编目可访问的 LLM 服务。报告并未声称在发现后观察到了利用、数据盗窃或模型滥用行为，但该活动仍表明存在恶意意图。

研究人员称：8万个枚举请求代表了一种投入，如果没有使用该地图的计划，威胁组织不会以这种规模绘制基础设施地图。

为了防御此类活动，建议将 Ollama 模型拉取限制在受信任的注册表，应用出口过滤，并在 DNS 级别阻止已知的 OAST 回调域。 针对其的措施包括对可疑的 ASN 实施速率限制，以及监控与自动化扫描工具相关的 JA4 网络指纹。

参考及来源：https://www.bleepingcomputer.com/news/security/hackers-target-misconfigured-proxies-to-access-paid-llm-services/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：嘶吼专业版 胡金鱼 胡金鱼《黑客瞄准配置不当代理服务器 意图窃取商用大模型访问权限》