事件经过
2026年6月17日,Sysdig Threat Research Team发布了研究文档,记录了2026年6月12日的一次入侵事件,其中威胁行为者将一个公开暴露、未经身份验证的Ollama模型服务器(端口11434)连接到完全自动化的多阶段攻击管道中:AI模型自主扫描目标、将其与已知漏洞匹配、编写概念验证漏洞,并尝试入侵 — 在每个步骤都无需人工干预做出决定。Sysdig从攻击者的系统提示中捕获了完整的框架架构。这是LLMjacking的最新演变,Sysdig最初在2024年创造了这个术语;已知存在约175,000个公开暴露的Ollama实例。
影响分析
LLMjacking已从凭证盗窃用于API转售演变为完整的代理式攻击工具 — 暴露的AI计算现在是自主攻击管道的大脑,而不仅仅是成本盗窃目标。这验证了研究人员理论化的野生状态:一个能力强的本地模型+互联网暴露的服务器=攻击者的免费自主红队能力。175,000个暴露的Ollama实例代表了一个巨大的、基本未解决的攻击面。
适用范围
任何运行自托管AI推理服务器(Ollama、vLLM等)的组织必须立即审查是否公开暴露 — 强制实施身份验证并将端口11434(及等效端口)限制到专网。云安全团队应将AI推理服务器暴露添加到其外部攻击面扫描中。