文章总结： 研究人员揭露代号为BizarreBazaar的大模型劫持攻击活动，针对暴露的AI端点利用配置缺陷实施未授权访问。攻击者构建犯罪供应链，通过挖矿、转售API及横向渗透牟利，涉及数千次攻击会话。建议企业强化AI接口认证与网络测绘平台监控，防止基础设施被滥用。 综合评分： 90 文章分类： AI安全,威胁情报,漏洞分析

新型恶意攻击活动盯上暴露的大模型服务端点 非法利用AI基础设施牟利

胡金鱼 胡金鱼

嘶吼专业版

2026年2月5日 14:01 北京

一款恶意攻击活动正针对暴露在外的大语言模型服务端点展开精准攻击，通过非法获取AI基础设施的未授权访问权限实现商业化牟利。

研究人员在40天的监测中，于蜜罐系统上记录到超3.5万次攻击会话，由此发现这起大规模网络犯罪活动——攻击者通过利用暴露或认证机制存在缺陷的AI服务端点，将非法访问权限变现并实施一系列恶意操作。

研究人员将该攻击活动命名为Bizarre Bazaar，并指出这是首起可明确归因于特定威胁组织的“大模型劫持”（LLMjacking）攻击案例。

研究人员称攻击者通过获取防护薄弱的大模型基础设施端点未授权访问权限，主要实施以下恶意行为：

1. 窃取计算资源用于虚拟货币挖矿；

2. 在暗网市场转售API访问权限；

3. 窃取提示词与对话记录中的数据；

4. 试图通过模型上下文协议（MCP）服务器横向渗透至内部系统。

该攻击活动的常见攻击载体包括：自部署的大模型环境、暴露在外或未做认证的AI接口、公网可访问的MCP服务器，以及分配了公网IP的AI开发/测试环境。

攻击者通常利用各类配置漏洞发起攻击，例如11434端口上未做认证的Ollama服务端点、8000端口上兼容OpenAI协议的未认证接口，以及未做权限校验的生产环境聊天机器人。

研究人员指出，一旦存在配置漏洞的服务端点出现在Shodan、Censys等网络空间测绘平台的扫描结果中，攻击者会在数小时内发起针对性攻击。

这类威胁与传统的接口滥用存在本质区别，被攻陷的大模型服务端点不仅会产生高额成本——大模型推理计算的开销本就居高不下，还会导致企业敏感数据泄露，更会为攻击者提供横向渗透的可乘之机。

此前，GreyNoise的一份报告也曾披露过类似攻击行为，彼时攻击者主要针对商用大模型服务展开信息探测。

而此次研究则发现，这起攻击活动背后形成了一条犯罪供应链，涉及三名威胁者，且三者大概率为同一犯罪团伙协同作案：

第一位通过自动化机器人对全网进行扫描，寻找大模型及MCP服务端点；

第二位体对扫描结果进行验证，测试目标端点的访问权限；

第三位行为体则在Telegram、Discord等平台运营着一个名为silver[.]inc的商业化服务平台，将非法获取的AI服务访问权限以虚拟货币或PayPal转账的方式转售牟利。

该平台还推出了一个名为NeXeonAI的项目，对外宣称是“一体化AI基础设施”，可提供50余款头部厂商的大模型访问权限。

Bizarre Bazaar行动阶段

研究人员还将这起犯罪活动溯源至一名特定威胁者，该行为体曾使用“Hecker”“Sakuya”“LiveGamer101”等多个别名。

除了聚焦大模型接口滥用的Bizarre Bazaar，还监测到另一起独立的攻击活动，该活动专门针对MCP服务端点展开侦察探测。

针对MCP端点的攻击，能为攻击者创造更多横向渗透的机会——可通过与Kubernetes容器平台交互、获取云服务访问权限、执行Shell命令等方式进一步入侵，其背后的牟利价值远高于单纯利用计算资源挖矿的变现手段。

目前尚无证据表明这起MCP端点攻击活动与Bizarre Bazaar存在关联，但安全研究人员推测，二者或有潜在联系。

参考及来源：https://www.bleepingcomputer.com/news/security/hackers-hijack-exposed-llm-endpoints-in-bizarre-bazaar-operation/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：嘶吼专业版 胡金鱼 胡金鱼《新型恶意攻击活动盯上暴露的大模型服务端点 非法利用AI基础设施牟利》