系统:运行中
EN FR ES ZH
← 返回所有攻击
OFFENSIVE AI MEDIUM NEW

LLMjacking 进化:被盗的 Ollama 算力开始驱动自主攻击代理

Sysdig 于 2026 年 6 月 17 日的报告记录了一起被捕获的事件:一台暴露且无认证的 Ollama 服务器被用作多阶段攻击流水线的推理引擎。修复在于运维,而非模型本身。

2026-06-22 // 6 min affects: ollama, self-hosted-llm-inference, exposed-model-servers

这是什么?

2026 年 6 月 17 日,Sysdig 威胁研究团队(TRT)发布了一份分析,记录其在 2026 年 6 月 12 日观察到的一起事件:攻击者把一台配置错误、暴露在互联网上的 Ollama 模型服务器接入了一条自动化的攻击性安全流水线。攻击者并非在与模型对话,也不是转售访问权限,而是把窃取来的推理算力当作一个多阶段工具的决策「大脑」——该工具会探测目标、将其与已知漏洞匹配、起草概念验证代码,并尝试入侵。

这是 Sysdig 自 2024 年 5 月提出 LLMjacking 一词以来追踪的两种趋势的汇合。第一种是算力盗用:滥用他人付费或自托管的 AI 算力,让受害者买单。第二种是自主攻击工具,长期以来只存在于研究中。如今二者在一次被捕获的行动中合流。

工作原理

触发条件十分平常。Ollama 默认在 11434 端口上监听,且默认没有任何认证:绑定到公网接口的服务器会响应任何发现它的人。SentinelLABS/Censys 于 2026 年 1 月 29 日的研究统计出约 17.5 万台暴露的 Ollama 主机,分布在 130 个国家,其中近一半声明支持工具调用——这把一个文本生成端点变成了能够执行代码的端点。

由于攻击者的工具在每次请求时都会把完整指令发给模型,Sysdig 因此捕获了整个框架。它驱动模型经过一系列离散且格式严格的阶段:把服务横幅规范化以供 CVE 查询、漏洞匹配、Web 侦察、概念验证合成、盲注 SQL 构造、凭据与机密提取,以及一个不断循环直至获得命令执行的自主编排器。值得注意的是,每个阶段都指示模型把从目标捕获的内容当作不可信数据、而非指令对待——这是针对工具所读取页面发起提示注入的一种有意防御。

该框架最持久的特征是其入侵确认机制:它注入一条被两个唯一哨兵字符串(VAPTb3ginVAPTfin)包裹的命令,并通过在 id 输出周围找到这些标记来确认远程代码执行。用起止标记把命令输出包裹起来、以便解析器从噪声中提取,是 AI 生成攻击工具反复出现的特征:人在读终端时不会为机器给输出加上标记。

有两个细节表明这是真实软件,而非演示。该工具按名称请求了至少七个模型,其中包括商用模型(gpt-4o-miniclaude-3-5-sonnetgemini-2.0-flash-exp),它只是把后端重新指向了免费的 Ollama;而且它是在开发过程中被捕获的:在长达八小时的会话里不断新增和重写各阶段,且全部指向私有练习靶场(RFC 1918 地址和 HackTheBox 实验室网段),并非真实受害者。

为何重要

两年前,研究者就警告:一个有能力的模型若拿到漏洞描述,可自主利用某一 one-day 漏洞集合中的 87%(Fang 等,2024 年 4 月)。这一警告如今已落地,且经济账已经崩塌:当推理算力是偷来的,对任何愿意滥用他人算力的攻击者而言,运行一个自主攻击者的边际成本趋近于零。

此外还存在一个防御盲区。仅监视模型服务器自身日志的检测,前提是运营者拥有并监控该服务器。一台被外部攻击者发现的暴露服务器,按定义就是无人监控的:其所有者只会看到算力升高和一个开放端口,而看不到正运行在自己硬件上的多阶段攻击流水线。

防御措施

请把自托管推理端点当作暴露的数据库一样对待:

  • 不要暴露 11434 端口。 将 Ollama(以及 vLLM 等类似服务器)绑定到 localhost 或内部接口。任何远程访问都应置于防火墙和带认证的反向代理之后。
  • 在代理层或网络层加上认证。 Ollama 自身不提供认证,因此必须在每个端点之前强制实施。
  • 审计你自己的网段。 像攻击者那样扫描开放的 11434 端口,并盘点在安全边界之外搭建的影子模型服务器。
  • 监控推理流量,留意异常请求量以及攻击工具特征——僵硬的结构化输出约定,以及被标记包裹的命令模式。Sysdig 已公开哨兵字符串(VAPTb3ginVAPTfin__VAPTCMD__)和确认探针,可作为检测锚点。
  • 警惕移除了护栏的模型。 该行动最初的探测请求了一个「abliterated」(去护栏)的 Llama 版本;端点上存在未审查的模型模板,本身就是一个风险信号。

状态

项目详情
报告方Sysdig TRT
观察时间2026 年 6 月 12 日(6 月 14 日再度出现)
发布时间2026 年 6 月 17 日
根因暴露且无认证的 Ollama(11434 端口)
CVE无——属配置暴露,而非软件缺陷
暴露规模约 17.5 万台暴露的 Ollama 主机(SentinelLABS/Censys,2026 年 1 月)

本文用于教育与防御目的。它总结了已公开披露的研究,并未复现被捕获框架中的实战载荷或各阶段提示词。

Sources