据网络安全研究人员透露,他们发现了一种新颖的攻击方式,利用窃取的云凭证针对云托管的大型语言模型(LLM)服务,目的是向其他威胁行为者出售访问权限。该攻击技术被 Sysdig 威胁研究团队命名为 LLMjacking。
研究人员 Alessandro Brucato 表示:“一旦获得初始访问权限,攻击者会窃取云凭证并进入云环境,试图访问云提供商托管的本地 LLM 模型。” 在这情况下,他们的目标是 Anthropic 的本地 Claude (v2/v3) LLM 模型。攻击路径涉及入运行易受攻击版本的 Laravel 框架的系统(例如 CVE-2021-3129),然后获取亚马逊云服务(AWS)凭证以访问 LLM 服务。
攻击中使用的工具包括一个开源的 Python 脚本,用于检查和验证 Anthropic、AWS Bedrock、Google Cloud Vertex AI、Mistral 和 OpenAI 等产品的密钥。Brucato 解释说:“在验证阶段并没有真正运行任何合法的 LLM 查询。相反,只是做了足够的工作来弄清楚凭证的功能和任何配额。” 该密钥检查器还与另一个名为 oai-re-proxy 的开源工具集成,该工具充当 LLM API 的反向代理服务器,表明攻击者很可能正在提供对被攻陷帐户的访问权限,而不实际暴露底层凭证。
此外,攻击者还被发现查询日志设置,很可能是为了在使用被攻陷的凭证运行其提示时规避检测。这种发展与注重提示注入和模型污染的攻击不同,而是允许攻击者在云账户的所有者不知情或未经同意的情况下利用他们对 LLMs 的访问权限进行货币化。
Sysdig 表示,这种攻击可能导致受害者每天超过46,000美元 LLM 消耗成本。Brucato 表示:“使用 LLM 服务可能很昂贵,这取决于模型和被输入的令牌。通过最大化配额限制,攻击者还可以阻止受损组织合法使用模型,从而干扰业运营。” 建议组织启用详细日志记录,并监视云日志以发现可疑或未经授权的活动,同时保建立有效的漏洞管理流程以防止初始访问。