最新研究表明，網(wǎng)絡(luò)攻擊者正在利用泄露的云憑證在幾分鐘內(nèi)劫持企業(yè)AI系統(tǒng)。近期事件顯示，攻擊者能夠在19分鐘內(nèi)攻破大型語言模型（LLM）的基礎(chǔ)設(shè)施。

這種被稱為“LLMjacking”的攻擊方法以非人類身份（NHIs）——如API密鑰、服務(wù)賬戶和機器憑證——為目標，繞過傳統(tǒng)安全控制，并利用竊取的生成式AI訪問權(quán)限牟利。

LLMjacking的攻擊鏈

安全公司Entro Labs最近在GitHub、Pastebin和Reddit上發(fā)布了功能性AWS密鑰，以研究攻擊者的行為。

他們的研究揭示了一種系統(tǒng)化的四階段攻擊模式：

LLMJacking攻擊鏈

(1) 憑證收集：自動化的機器人使用Python腳本掃描公共代碼庫和論壇，以檢測有效憑證，其中44%的非人類身份是通過代碼庫和協(xié)作平臺泄露的。

(2) 快速驗證：攻擊者在憑證暴露后的9-17分鐘內(nèi)執(zhí)行初始API調(diào)用（如GetCostAndUsage）以評估賬戶價值，并避免使用可預(yù)測的調(diào)用（如GetCallerIdentity）以逃避檢測。

不同泄露位置的密鑰訪問平均時間

(3) 模型枚舉：入侵者通過AWS Bedrock執(zhí)行GetFoundationModelAvailability請求，以列出可訪問的LLM——包括Anthropic的Claude和Amazon Titan——并映射可用的攻擊面。

(4) 利用：攻擊者對受損端點進行自動化的InvokeModel嘗試，研究人員在實驗密鑰中觀察到每小時超過1200次未經(jīng)授權(quán)的推理嘗試。

Storm-2139網(wǎng)絡(luò)犯罪集團最近利用這種方法攻擊了Microsoft Azure AI客戶，竊取API密鑰以生成暗網(wǎng)內(nèi)容。取證日志顯示，攻擊者：

• 使用Python的requests庫進行憑證驗證
• 使用aws s3 ls命令識別AI/ML存儲桶
• 嘗試通過精心設(shè)計的提示繞過內(nèi)容過濾器執(zhí)行bedrock: InvokeModel

Entro的模擬漏洞測試顯示，攻擊者將自動化腳本與手動偵察相結(jié)合——63%的初始訪問使用了Python SDK，而37%使用Firefox用戶代理通過AWS控制臺進行交互式探索。

未受控制的LLMjacking帶來了嚴重的風(fēng)險：

• 成本濫用：一個具有Bedrock訪問權(quán)限的受損非人類身份可能每天產(chǎn)生46000美元的未經(jīng)授權(quán)推理費用。
• 數(shù)據(jù)泄露：在22%的觀察事件中，攻擊者泄露了模型配置和訓(xùn)練數(shù)據(jù)元數(shù)據(jù)。
• 聲譽損害：微軟2025年第一季度的漏洞事件中，威脅行為者使用竊取的Azure OpenAI密鑰生成了超過14000張深度偽造圖像。

緩解策略

• 實時檢測和監(jiān)控非人類身份
• 實施自動化的密鑰輪換
• 強制執(zhí)行最小權(quán)限原則
• 監(jiān)控異常的API活動
• 教育開發(fā)人員如何安全管理非人類身份

隨著攻擊者在20分鐘內(nèi)即可利用泄露的密鑰，實時密鑰掃描和自動輪換不再是一種可選的保護措施，而是LLM時代的關(guān)鍵生存機制。