Sysdig的研究揭示了一個令人擔憂的現(xiàn)象：一個針對大型語言模型（LLM）的黑市正在形成。ORP（OpenAI反向代理）運營商向攻擊者提供未經(jīng)授權的被盜賬戶訪問權限，從而獲取巨額利潤。本文將深入剖析攻擊者如何竊取訪問權限，并利用LLM進行牟利。

DeepSeek遭遇LLMjacking攻擊，云成本急劇飆升

自2024年5月首次被發(fā)現(xiàn)以來，LLMjacking攻擊呈現(xiàn)出迅速演變的趨勢，攻擊范圍不斷擴展至新的大型語言模型，例如DeepSeek。據(jù)報道，DeepSeek-V3發(fā)布僅數(shù)天后，就被集成到ORP實例中，這充分展示了攻擊者驚人的適應能力。

LLMjacking的驅(qū)動因素在于基于云的LLM使用相關的高成本。攻擊者通過入侵賬戶，利用這些昂貴的服務而不支付費用。根據(jù)TRT的最新發(fā)現(xiàn)，LLMjacking已經(jīng)成為一種成熟的攻擊向量，線上社區(qū)積極分享相關工具和技術。

TRT觀察到LLMjacking的牟利行為有所增加，攻擊者通過ORP出售LLM訪問權限。其中一個實例，根據(jù)報道每月售價為30美元。然而，運營商往往低估了與LLM使用相關的成本。研究人員注意到，在一個實例中，僅4.5天的運行時間就產(chǎn)生了近5萬美元的成本，其中Claude 3 Opus是最昂貴的。

攻擊者運營的一個ORP實例（通過Sysdig）

資源利用的規(guī)模

在觀察到的ORP中，總令牌（LLM生成的單詞、字符集或單詞/標點符號的組合）的使用量超過20億，突顯了資源利用的規(guī)模之大。受害者是憑證被盜用的合法賬戶持有者。

ORP使用仍然是LLMjacking的流行方法。ORP服務器作為各種LLM的反向代理，可以通過Nginx或TryCloudflare等動態(tài)域名暴露，有效地掩蓋攻擊者的來源。這些代理通常包含來自不同提供商（如OpenAI、Google AI和Mistral AI）的眾多被盜API密鑰，使攻擊者能夠向他人提供LLM訪問權限。

研究人員在博客文章中指出：“Sysdig TRT發(fā)現(xiàn)超過十幾個代理服務器使用被盜憑證跨多個不同服務，包括OpenAI、AWS和Azure。LLM的高成本是網(wǎng)絡犯罪分子選擇竊取憑證而不是支付LLM服務費用的原因?！?/p>

在線社區(qū)對LLMjacking的推動

4chan和Discord等在線社區(qū)通過ORP促進了LLM訪問的共享。Rentry.co被用于共享工具和服務。研究人員在蜜罐環(huán)境中的LLM提示日志中發(fā)現(xiàn)了許多ORP代理，其中一些使用自定義域名，另一些則使用TryCloudflare隧道，最終追溯到攻擊者控制的服務器。

憑證盜竊：LLMjacking的關鍵環(huán)節(jié)

憑證盜竊是LLMjacking的一個重要方面。攻擊者針對易受攻擊的服務，使用驗證腳本來識別訪問ML服務的憑證。公共存儲庫也提供了暴露的憑證。定制的ORP，通常為隱私和隱蔽性而修改，被用于訪問被盜賬戶。

應對LLMjacking：關鍵措施

為應對LLMjacking攻擊，保護訪問密鑰并實施強大的身份管理至關重要。最佳實踐包括避免硬編碼憑證、使用臨時憑證、定期輪換訪問密鑰，以及監(jiān)控暴露的憑證和可疑賬戶行為。