安全研究人员发现,在 2025 年 10 月至 2026 年 1 月 期间,针对 AI 基础设施的恶意攻击活动显著增加,累计攻击会话 超过 9.1 万次,反映出针对大语言模型(LLM)部署环境的系统性攻击趋势。
GreyNoise 通过其 Ollama 蜜罐环境 在该时间段内记录了 91,403 次攻击会话,并识别出 两类不同但高度组织化的威胁活动。这些观察结果不仅验证了 Defused 早前关于 AI 系统攻击面的研究,也在攻击规模与技术细节上进行了重要补充。
第一阶段攻击集中在 服务器端请求伪造(SSRF)漏洞 的利用上。攻击者试图诱使服务器主动向其控制的外部基础设施发起连接,从而验证目标系统的可利用性。
具体而言,攻击者通过以下方式对 Ollama 的模型拉取机制发起攻击:
注入恶意模型注册表(Registry)URL
篡改 Twilio 短信 Webhook 中的 MediaUrl 参数
其目的在于触发 Ollama 在后端执行非预期的外部请求。
该攻击活动自 2025 年 10 月持续至 2026 年 1 月,并在 圣诞节期间出现明显高峰,48 小时内攻击会话数达到 1,688 次。
攻击者利用 ProjectDiscovery 的 OAST 回调基础设施,通过外带请求确认 SSRF 是否成功触发。
99% 的攻击流量具有相同的 JA4H 指纹
高度一致的 TLS/HTTP 行为特征,表明攻击者使用了 基于 Nuclei 的自动化扫描工具
虽然源 IP 分布在 27 个国家、62 个地址,但行为特征高度一致
GreyNoise 判断,该活动更可能来自 VPS 托管环境,而非传统僵尸网络。
研究人员推测,这可能是一次 漏洞赏金导向的灰帽扫描行动,但其持续时间、强度及节假日期间的爆发仍引发了明显的道德与合规争议。
第二类攻击活动自 2025 年 12 月 28 日 起出现,表现为高度集中的 模型端点枚举与验证行为。
在 11 天内,仅 两个 IP 地址 就对 73 个以上 LLM API 端点 发起了 80,469 次请求,其目的显然是识别:
错误配置的代理服务器
未授权暴露的商业模型 API
可被滥用的 OpenAI 兼容接口
攻击测试涵盖了几乎所有主流模型生态,且同时支持 OpenAI 兼容格式 与 Google Gemini 接口规范,包括但不限于:
OpenAI GPT-4o
Anthropic Claude
Meta Llama 3.x
DeepSeek-R1
Google Gemini
Mistral
阿里巴巴通义千问
xAI Grok
值得注意的是,请求内容被刻意设计为低风险、无害查询,以降低被安全系统拦截的概率:
"hi":32,716 次
"美国有多少个州?":27,778 次
这类请求明显用于 模型指纹识别与接口可用性验证,而非即时利用。
攻击流量主要集中来自以下两个 IP 地址:
| IP 地址 | ASN | 组织 | 会话数 |
|---|---|---|---|
| 45.88.186.70 | AS210558 | 1337 Services GmbH | 49,955 |
| 204.76.203.125 | AS51396 | Pfcloud UG | 30,514 |
历史数据表明,这两个 IP 均与 大量 CVE 漏洞利用活动 相关:
覆盖 200+ 个已知漏洞
累计 400 万次以上传感器命中
包括但不限于:
CVE-2025-55182
CVE-2023-1389
这一背景进一步强化了其 专业化攻击运营 的判断。
建议在网络与安全设备中封禁以下特征:
| 类型 | 指标 |
|---|---|
| JA4H | po11nn060000… |
| 域名 | *.oast.live、*.oast.me、*.oast.online、*.oast.pro、*.oast.fun、*.oast.site、*.oast.today |
| IP | 45.88.186.70、204.76.203.125、134.122.136.119、134.122.136.96、112.134.208.214、146.70.124.188、146.70.124.165 |
【此处放图】
图 3:攻击回调域名与 IP 关联关系示意
仅允许 Ollama 访问白名单内的必要地址
默认阻断所有非必要的出站连接
防止 SSRF 被用于回调验证或横向侦察
超过 8 万次的系统化枚举请求 表明,攻击者投入了显著资源进行基础设施测绘。
这种规模的探测行为通常 不会是随机扫描,而往往服务于后续的利用、滥用或商业 API 盗用行动。
如果你当前运行着暴露在公网的 LLM 接口或代理服务,极有可能已经被纳入某些攻击者的目标清单。
网站资讯
渠道合作
解决方案
更多服务
