事件经过
2026年6月12日,Sysdig威胁研究团队观察到一个威胁行为者滥用公开暴露、未认证的Ollama模型服务器作为自我标识为"VAPT"的多阶段攻击框架的推理后端。该行为者将未认证的模型推理连接到一条管道,该管道执行服务指纹识别(CPE映射)、漏洞匹配、Web侦察、盲时间基础SQL注入有效负载合成(带过滤器规避)、凭证提取和权限提升编排,直到确认远程代码执行。该框架在每个模型调用上发送完整阶段指令(使Sysdig能够捕获完整架构),强制执行机器可解析的JSON输出,并使用检测标记序列(echo VAPTb3gin; id; echo VAPTfin)来确认妥协。Sysdig于2026年6月17日发布了研究。在观察窗口内,探针针对私有实验室范围;该行为者似乎在调整该框架。
影响分析
大约175,000个Ollama实例在130多个国家可公开访问,没有身份验证,为攻击者提供免费的AI计算。这个事件标志着从LLM劫持作为API盗窃到LLM劫持作为自主攻击代理的演进:被盗的模型容量现在是自驾驶攻击链的决策大脑。任何运行自托管Ollama或类似未认证模型服务器(llama.cpp、LM Studio监听0.0.0.0)的组织直接在影响范围内——他们的计算可以在不盗窃任何凭证的情况下被攫取和武器化。
攻击途径
攻击者发现互联网暴露的Ollama实例(端口11434,默认无身份验证)。攻击者向模型API发送结构化提示工程序列,在自主渗透测试管道的每个阶段使用模型作为推理引擎(指纹识别→CVE匹配→攻击合成→SQL注入→凭证提取→RCE)。
受影响系统
Ollama(所有版本)使用默认配置绑定到0.0.0.0:11434,没有身份验证;也包括任何暴露到互联网且没有auth代理的自托管开放权重模型服务器
缓解措施
将Ollama绑定到localhost仅(设置OLLAMA_HOST=127.0.0.1)。在防火墙/安全组级别阻止端口11434。在任何外部可访问的模型端点前放置一个经过身份验证的反向代理(nginx + 基本身份验证或mTLS)。监控IOC:VAPTb3gin/VAPTfin标记字符串、源IP 122.183.48.82/35/195。参见:https://www.sysdig.com/blog/llmjacking-evolved-attackers-are-using-stolen-ai-compute-to-build-offensive-agentic-tools