Apa yang terjadi
Pada 12 Juni 2026, Tim Riset Ancaman Sysdig mengamati aktor ancaman yang menyalahgunakan server model Ollama yang terbuka secara publik dan tidak terauthentikasi sebagai backend penalaran untuk kerangka kerja peretasan ofensif multi-tahap yang mengidentifikasi dirinya sendiri sebagai 'VAPT'. Aktor menghubungkan inferensi model yang tidak terauthentikasi ke dalam pipeline yang melakukan fingerprinting layanan (dipetakan CPE), pencocokan kerentanan, pengintaian web, sintesis payload injeksi SQL berbasis waktu buta dengan penghindaran filter, ekstraksi kredensial, dan orkestrasi eskalasi privilege hingga eksekusi kode jarak jauh dikonfirmasi. Kerangka kerja mengirimkan instruksi tahap lengkap pada setiap panggilan model (memungkinkan Sysdig untuk menangkap arsitektur lengkap), memberlakukan output JSON yang dapat diurai mesin, dan menggunakan urutan penanda deteksi (echo VAPTb3gin; id; echo VAPTfin) untuk mengonfirmasi kompromi. Sysdig menerbitkan penelitian pada 17 Juni 2026. Selama jendela observasi, probe menargetkan rentang lab privat; aktor tampaknya sedang menyetel kerangka kerja.
Mengapa penting
Kira-kira 175.000 instans Ollama dapat dijangkau secara publik di 130+ negara tanpa autentikasi, menyediakan komputasi AI gratis untuk penyerang. Insiden ini menandai evolusi dari LLMjacking-sebagai-pencurian-API menjadi LLMjacking-sebagai-agen-ofensif-otonomi: kapasitas model yang dicuri sekarang menjadi otak pengambil keputusan dari rantai eksploitasi yang self-driving. Organisasi mana pun yang menjalankan Ollama yang di-host sendiri atau server model yang tidak terauthentikasi serupa (llama.cpp, LM Studio mendengarkan di 0.0.0.0) berada langsung dalam jangkauan ledakan — komputasi mereka dapat disita dan digunakan sebagai senjata tanpa kredensial apa pun yang dicuri.
Vektor serangan
Penyerang menemukan instans Ollama yang terbuka di internet (port 11434, tidak ada autentikasi secara default). Penyerang mengirimkan urutan prompt-engineering terstruktur ke API model, menggunakan model sebagai mesin penalaran untuk setiap tahap pipeline penetration-testing otonomi (fingerprinting → pencocokan CVE → sintesis eksploitasi → injeksi SQL → ekstraksi kredensial → RCE).
Sistem yang terdampak
Ollama (semua versi) dengan konfigurasi default yang mengikat ke 0.0.0.0:11434 tanpa autentikasi; juga server model terbuka bobot apa pun yang di-host sendiri dan terbuka ke internet tanpa proxy autentikasi
Mitigasi
Ikat Ollama ke localhost saja (atur OLLAMA_HOST=127.0.0.1). Blokir port 11434 di tingkat firewall/security-group. Tempatkan proxy balik terauthentikasi (nginx + basic auth atau mTLS) di depan endpoint model yang dapat diakses secara eksternal. Pantau untuk IOC: string penanda VAPTb3gin/VAPTfin, IP sumber 122.183.48.82/35/195. Lihat: https://www.sysdig.com/blog/llmjacking-evolved-attackers-are-using-stolen-ai-compute-to-build-offensive-agentic-tools