Các nhà nghiên cứu bảo mật đã ghi nhận hơn 91.000 phiên tấn công mạng nhắm vào hạ tầng Trí tuệ Nhân tạo (AI) trong khoảng thời gian từ tháng 10 năm 2025 đến tháng 1 năm 2026. Điều này cho thấy các chiến dịch có hệ thống đang diễn ra nhằm vào các triển khai mô hình ngôn ngữ lớn (LLM).
Tổng Quan Về Các Chiến Dịch Tấn Công Mạng AI/LLM
Hạ tầng honeypot Ollama của GreyNoise đã ghi nhận tổng cộng 91.403 phiên tấn công trong giai đoạn từ tháng 10/2025 đến tháng 1/2026. Dữ liệu này hé lộ hai chiến dịch mối đe dọa riêng biệt, củng cố và mở rộng các nghiên cứu trước đây của Defused về việc nhắm mục tiêu vào hệ thống AI.
Thời gian hoạt động chính của các cuộc tấn công mạng này kéo dài từ tháng 10 năm 2025 đến tháng 1 năm 2026. Đáng chú ý, một đợt tăng đột biến về số lượng phiên tấn công đã được ghi nhận vào dịp Giáng Sinh, với 1.688 phiên chỉ trong vòng 48 giờ.
Chiến Dịch 1: Khai Thác Lỗ Hổng SSRF
Chiến dịch đầu tiên tập trung vào việc khai thác các lỗ hổng Server-Side Request Forgery (SSRF). Mục tiêu chính là buộc các máy chủ thực hiện kết nối ra bên ngoài đến hạ tầng do kẻ tấn công kiểm soát.
Kẻ tấn công đã nhắm mục tiêu vào chức năng kéo mô hình của Ollama. Việc này được thực hiện bằng cách tiêm các URL registry độc hại và thao túng tham số MediaUrl của webhook Twilio SMS.
Quá trình khai thác thành công đã được xác nhận thông qua xác thực callback. Phương pháp này sử dụng hạ tầng OAST (Out-of-Band Application Security Testing) của ProjectDiscovery.
Phân tích dấu vân tay (fingerprinting) đã tiết lộ một chữ ký JA4H duy nhất xuất hiện trong 99% các cuộc tấn công mạng. Điều này gợi ý sự chia sẻ công cụ tự động hóa, nhiều khả năng dựa trên Nuclei.
Mặc dù quan sát thấy 62 địa chỉ IP nguồn từ 27 quốc gia, dấu vân tay nhất quán lại chỉ ra hạ tầng dựa trên máy chủ riêng ảo (VPS) thay vì một botnet. GreyNoise đánh giá đây có thể là các hoạt động “mũ xám” của thợ săn lỗi (bug bounty hunters), dù quy mô và thời gian thực hiện gây ra những lo ngại về đạo đức.
Chiến Dịch 2: Trinh Sát Hệ Thống LLM Có Phương Pháp
Bắt đầu từ ngày 28 tháng 12 năm 2025, hai địa chỉ IP đã khởi động các cuộc thăm dò có phương pháp vào hơn 73 điểm cuối mô hình LLM. Hoạt động này tạo ra 80.469 phiên trong vòng mười một ngày.
Mục tiêu của hoạt động trinh sát có hệ thống này là tìm kiếm các máy chủ proxy cấu hình sai. Những máy chủ này có thể vô tình để lộ quyền truy cập vào các API thương mại, tạo ra rủi ro bảo mật nghiêm trọng.
Các cuộc tấn công đã kiểm tra các định dạng tương thích với OpenAI và Google Gemini. Việc này bao gồm mọi họ mô hình lớn như: OpenAI GPT-4o, Anthropic Claude, Meta Llama 3.x, DeepSeek-R1, Google Gemini, Mistral, Alibaba Qwen, và xAI Grok.
Các truy vấn kiểm tra được giữ vô hại một cách có chủ ý. Ví dụ, từ “hi” xuất hiện 32.716 lần và câu “How many states are there in the United States?” xuất hiện 27.778 lần. Mục đích là để xác định dấu vân tay của mô hình mà không kích hoạt các cảnh báo bảo mật.
Hạ tầng này chỉ ra các tác nhân đe dọa chuyên nghiệp đứng sau các cuộc tấn công mạng này:
- 45.88.186.70 (AS210558, 1337 Services GmbH): 49.955 phiên
- 204.76.203.125 (AS51396, Pfcloud UG): 30.514 phiên
Cả hai địa chỉ IP này đều có lịch sử khai thác lỗ hổng CVE rộng rãi. Chúng đã tạo ra hơn 4 triệu lượt truy cập cảm biến kết hợp trên hơn 200 lỗ hổng, bao gồm CVE-2023-1389 và CVE-2025-55182. Các lỗ hổng này có thể dẫn đến việc chiếm quyền điều khiển hệ thống nếu không được vá kịp thời.
Quy mô 80.000 yêu cầu liệt kê đại diện cho một khoản đầu tư đáng kể. Các tác nhân đe dọa sẽ không lập bản đồ hạ tầng ở quy mô này nếu không có kế hoạch khai thác nó. Nếu đang vận hành các điểm cuối LLM bị lộ, hệ thống của bạn có thể đã nằm trong danh sách mục tiêu của các cuộc tấn công mạng.
Chỉ Số Thỏa Hiệp (IOCs)
Các chỉ số thỏa hiệp sau đây cần được theo dõi và chặn để tăng cường bảo mật mạng:
- Địa chỉ IP nguồn:
45.88.186.70204.76.203.125
- Hệ thống tự trị (ASN):
AS210558(1337 Services GmbH)AS51396(Pfcloud UG)
- Chữ ký JA4H: (chữ ký cụ thể chưa được công bố rộng rãi nhưng cần theo dõi khi phân tích lưu lượng mạng)
Khuyến Nghị Bảo Mật Trước Các Tấn Công Mạng
Để giảm thiểu rủi ro từ các cuộc tấn công mạng nhắm vào hạ tầng AI/LLM, các hành động sau đây là cần thiết:
- Chặn chỉ số mạng: Chặn các địa chỉ IP và ASN đã xác định khỏi việc truy cập vào hạ tầng của bạn ở cấp độ biên.
- Kiểm soát kết nối đi của Ollama: Chỉ cho phép Ollama thực hiện các kết nối đi đến các địa chỉ đã được phê duyệt. Ví dụ, chỉ cho phép kết nối đến các kho mô hình chính thức.
- Chặn tất cả lưu lượng đi không được phép: Triển khai các quy tắc tường lửa nghiêm ngặt để chặn tất cả lưu lượng truy cập đi không được ủy quyền. Điều này đặc biệt quan trọng để ngăn chặn kẻ tấn công sử dụng Ollama cho các callback SSRF hoặc C2.
- Quản lý lỗ hổng: Thường xuyên kiểm tra và vá các lỗ hổng CVE mới nhất cho tất cả các thành phần hệ thống liên quan đến AI/LLM.
Việc cập nhật các bản vá bảo mật, cấu hình hệ thống an toàn, và kiểm tra thường xuyên là yếu tố then chốt để duy trì an toàn thông tin và đảm bảo bảo mật mạng cho hạ tầng AI, tránh các cuộc tấn công mạng.
