何が起きたか
2026年6月17日、Sysdig脅威研究チームは2026年6月12日の侵入事件に関する研究を公開しました。その事件では、脅威アクターが公開されている認証なしのOllamaモデルサーバー(ポート11434)を完全自動化された多段階攻撃パイプラインに接続していました。AIモデルは自律的にターゲットをスキャンし、既知の脆弱性にマッチングし、概念実証エクスプロイトを作成し、侵害を試行しました。すべてのステップで人間の関与なしに決定を下していました。Sysdigは攻撃者のシステムプロンプトから完全なフレームワークアーキテクチャをキャプチャしました。これはSysdigが2024年に最初に造語したLLMjackingの最新の進化です。約175,000の公開されているOllamaインスタンスが存在することが知られています。
なぜ重要か
LLMjackingは認証情報盗難からAPIの転売へ進化し、その後、完全なエージェント型攻撃ツールへと進化しました。露出したAIコンピュートは、単なるコスト窃盗の対象ではなく、自律型攻撃パイプラインの脳となっています。これは、研究者が理論立てていたことを実際に検証しています。有能なローカルモデル+インターネット公開サーバー=攻撃者にとって無料の自律型レッドチーム機能。175,000の露出したOllamaインスタンスは、対処されていない大規模な攻撃面を表しています。
適用範囲
自ホスト型AI推論サーバー(Ollama、vLLMなど)を実行している組織は、公開露出について直ちに監査を実施する必要があります。認証を強制し、ポート11434(およびそれに相当するポート)をプライベートネットワークに制限してください。クラウドセキュリティチームは、外部攻撃面スキャンにAI推論サーバー露出を追加する必要があります。