Sysdig的研究揭示了一個(gè)令人擔(dān)憂的現(xiàn)象：一個(gè)針對大型語言模型（LLM）的黑市正在形成。ORP（OpenAI反向代理）運(yùn)營商向攻擊者提供未經(jīng)授權(quán)的被盜賬戶訪問權(quán)限，從而獲取巨額利潤。本文將深入剖析攻擊者如何竊取訪問權(quán)限，并利用LLM進(jìn)行牟利。

DeepSeek遭遇LLMjacking攻擊，云成本急劇飆升

自2024年5月首次被發(fā)現(xiàn)以來，LLMjacking攻擊呈現(xiàn)出迅速演變的趨勢，攻擊范圍不斷擴(kuò)展至新的大型語言模型，例如DeepSeek。據(jù)報(bào)道，DeepSeek-V3發(fā)布僅數(shù)天后，就被集成到ORP實(shí)例中，這充分展示了攻擊者驚人的適應(yīng)能力。

LLMjacking的驅(qū)動(dòng)因素在于基于云的LLM使用相關(guān)的高成本。攻擊者通過入侵賬戶，利用這些昂貴的服務(wù)而不支付費(fèi)用。根據(jù)TRT的最新發(fā)現(xiàn)，LLMjacking已經(jīng)成為一種成熟的攻擊向量，線上社區(qū)積極分享相關(guān)工具和技術(shù)。

TRT觀察到LLMjacking的牟利行為有所增加，攻擊者通過ORP出售LLM訪問權(quán)限。其中一個(gè)實(shí)例，根據(jù)報(bào)道每月售價(jià)為30美元。然而，運(yùn)營商往往低估了與LLM使用相關(guān)的成本。研究人員注意到，在一個(gè)實(shí)例中，僅4.5天的運(yùn)行時(shí)間就產(chǎn)生了近5萬美元的成本，其中Claude 3 Opus是最昂貴的。

攻擊者運(yùn)營的一個(gè)ORP實(shí)例（通過Sysdig）

資源利用的規(guī)模

在觀察到的ORP中，總令牌（LLM生成的單詞、字符集或單詞/標(biāo)點(diǎn)符號(hào)的組合）的使用量超過20億，突顯了資源利用的規(guī)模之大。受害者是憑證被盜用的合法賬戶持有者。

ORP使用仍然是LLMjacking的流行方法。ORP服務(wù)器作為各種LLM的反向代理，可以通過Nginx或TryCloudflare等動(dòng)態(tài)域名暴露，有效地掩蓋攻擊者的來源。這些代理通常包含來自不同提供商（如OpenAI、Google AI和Mistral AI）的眾多被盜API密鑰，使攻擊者能夠向他人提供LLM訪問權(quán)限。

研究人員在博客文章中指出：“Sysdig TRT發(fā)現(xiàn)超過十幾個(gè)代理服務(wù)器使用被盜憑證跨多個(gè)不同服務(wù)，包括OpenAI、AWS和Azure。LLM的高成本是網(wǎng)絡(luò)犯罪分子選擇竊取憑證而不是支付LLM服務(wù)費(fèi)用的原因。”

在線社區(qū)對LLMjacking的推動(dòng)

4chan和Discord等在線社區(qū)通過ORP促進(jìn)了LLM訪問的共享。Rentry.co被用于共享工具和服務(wù)。研究人員在蜜罐環(huán)境中的LLM提示日志中發(fā)現(xiàn)了許多ORP代理，其中一些使用自定義域名，另一些則使用TryCloudflare隧道，最終追溯到攻擊者控制的服務(wù)器。

憑證盜竊：LLMjacking的關(guān)鍵環(huán)節(jié)

憑證盜竊是LLMjacking的一個(gè)重要方面。攻擊者針對易受攻擊的服務(wù)，使用驗(yàn)證腳本來識(shí)別訪問ML服務(wù)的憑證。公共存儲(chǔ)庫也提供了暴露的憑證。定制的ORP，通常為隱私和隱蔽性而修改，被用于訪問被盜賬戶。

應(yīng)對LLMjacking：關(guān)鍵措施

為應(yīng)對LLMjacking攻擊，保護(hù)訪問密鑰并實(shí)施強(qiáng)大的身份管理至關(guān)重要。最佳實(shí)踐包括避免硬編碼憑證、使用臨時(shí)憑證、定期輪換訪問密鑰，以及監(jiān)控暴露的憑證和可疑賬戶行為。