网络安全研究人员发现了一种新颖的攻击,该攻击利用窃取的云凭据来针对云托管的大语言模型 (LLM) 服务,其目的是向其他威胁参与者出售访问权限。
Sysdig 威胁研究团队将这种攻击技术代号为LLMjacking 。
安全研究员亚历山德罗·布鲁卡托 (Alessandro Brucato)表示:“一旦获得初始访问权限,他们就会窃取云凭据并获得对云环境的访问权限,并试图访问云提供商托管的本地 LLM 模型。” “在这种情况下,Anthropic 的本地 Claude (v2/v3) LLM 模型成为目标。”
用于实施该计划的入侵途径需要破坏运行 Laravel Framework 的易受攻击版本(例如CVE-2021-3129)的系统,然后获取 Amazon Web Services (AWS) 凭据以访问 LLM 服务。
使用的工具包括一个开源 Python 脚本,用于检查和验证 Anthropic、AWS Bedrock、Google Cloud Vertex AI、Mistral 和 OpenAI 等各种产品的密钥。
“在验证阶段实际上没有运行任何合法的 LLM 查询,”Brucato 解释道。 “相反,我们只做了足够的工作来弄清楚凭证的功能和配额。”
keychecker 还与另一个名为oai-reverse-proxy 的开源工具集成,该工具充当 LLM API 的反向代理服务器,这表明威胁行为者可能会提供对受感染帐户的访问权限,而不会实际暴露底层凭据。
布鲁卡托说:“如果攻击者正在收集有用凭证的库存,并希望出售可用的 LLM 模型的访问权限,那么像这样的反向代理可以让他们通过他们的努力获利。”
此外,据观察,攻击者在使用受损的凭据运行提示时可能会查询日志记录设置,试图绕过检测。
这一发展与专注于快速注入和模型中毒的攻击不同,而是允许攻击者通过对 LLM 的访问来获利,而云帐户所有者在他们不知情或同意的情况下买单。
Sysdig 表示,此类攻击可能会给受害者带来每天超过 46,000 美元的 LLM 消耗成本。
“使用 LLM 服务可能会很昂贵,具体取决于模型和提供给它的代币数量,”布鲁卡托说。 “通过最大化配额限制,攻击者还可以阻止受感染的组织合法使用模型,从而扰乱业务运营。”
建议组织启用详细日志记录并监控云日志中是否存在可疑或未经授权的活动,并确保有效的漏洞管理流程到位以防止初始访问。
文章原文链接:https://www.anquanke.com/post/id/296395