黑客正在系统性地搜寻配置不当的代理服务器，试图通过这些服务器获取对商用大语言模型（LLM）服务的访问权限。

在这场始于 2025 年 12 月下旬的持续攻击活动中，攻击者已探测了超过 73 个 LLM 端点，并生成了 8 万多个会话。 

据威胁监测平台 GreyNoise 称，这些威胁组织使用 " 低噪声 " 提示词来查询端点，试图在不触发安全警报的情况下，确认所访问的 AI 模型类型。

灰帽行动

GreyNoise 在一份报告中指出，在过去四个月里，其 Ollama 蜜罐共捕获了 91,403 次攻击，这些攻击分属两个截然不同的活动。 

其中一个行动始于 10 月，目前仍在活跃中，在圣诞节前后的 48 小时内出现了 1,688 次会话的峰值。该行动利用 服务器端请求伪造（SSRF）漏洞，迫使服务器连接到攻击者控制的外部基础设施。

该行动背后的攻击者通过利用 Ollama 的模型拉取功能，注入恶意注册表 URL，并通过 MediaURL 参数集成 Twilio SMS 网络钩子来实现其目标。 

然而，基于所使用的工具可以判断出，该活动可能源自安全研究人员或漏洞赏金猎人，因为他们使用了 ProjectDiscovery 的 OAST（带外应用安全测试）基础设施，这通常用于漏洞评估。 

遥测数据显示，该活动源自 27 个国家的 62 个 IP 地址，这些地址表现出类似 VPS 的特征，而非僵尸网络操作的迹象。

  活动时间轴

第二个活动始于 12 月 28 日，研究员检测到大规模的枚举行为，旨在识别暴露或配置不当的 LLM 端点。 在 11 天内，该活动生成了 80,469 个会话，两个 IP 地址使用 OpenAI 兼容格式和 Google Gemini API 格式，系统性地探测了 73 个以上的模型端点。 

目标模型列表涵盖了所有主要提供商的产品，包括：

·OpenAI ( GPT-4o 及变体 )

·Anthropic ( Claude Sonnet, Opus, Haiku )

·Meta ( Llama 3.x )

·DeepSeek ( DeepSeek-R1 )

·Google ( Gemini )

·Mistral

·Alibaba ( Qwen )

·xAI ( Grok )

为了在测试对 LLM 服务的访问时避免触发安全警报，攻击者使用了无害的查询，例如简短的问候语、空输入或事实性问题。 

该扫描基础设施此前曾与广泛的漏洞利用活动有关联，这表明此次活动是有组织侦察工作的一部分，目的是编目可访问的 LLM 服务。报告并未声称在发现后观察到了利用、数据盗窃或模型滥用行为，但该活动仍表明存在恶意意图。

研究人员称：8 万个枚举请求代表了一种投入，如果没有使用该地图的计划，威胁组织不会以这种规模绘制基础设施地图。 

为了防御此类活动，建议将 Ollama 模型拉取限制在受信任的注册表，应用出口过滤，并在 DNS 级别阻止已知的 OAST 回调域。 针对其的措施包括对可疑的 ASN 实施速率限制，以及监控与自动化扫描工具相关的 JA4 网络指纹。