Các hacker đã tìm ra phương thức mới để khai thác các công cụ Trí tuệ Nhân tạo (AI) cho các hoạt động độc hại mà không tốn chi phí. Thay vì sử dụng tài nguyên riêng, kẻ tấn công đang chiếm quyền điều khiển các máy chủ mô hình AI bị lộ và tích hợp chúng vào các quy trình tấn công tự động. Đây là một ví dụ điển hình về mối đe dọa mạng ngày càng gia tăng liên quan đến việc lạm dụng hạ tầng AI.
Sự Trỗi Dậy Của Các Tác Nhân Tấn Công Tự Động
Kết quả là một công cụ tấn công tự định hướng, có khả năng quét mục tiêu, xác định điểm yếu, viết mã khai thác và thực hiện xâm nhập hoàn toàn tự động. Kỹ thuật này kế thừa từ xu hướng LLMJacking được phát hiện lần đầu vào năm 2024, khi các kẻ tấn công đánh cắp thông tin xác thực đám mây để lạm dụng các dịch vụ AI trả phí.
Ước tính thiệt hại tài chính trong trường hợp xấu nhất lên tới 46.000 USD mỗi ngày do chi phí tính toán bị đánh cắp. Đến năm 2025, hệ sinh thái tội phạm đã phát triển thành một thị trường chợ đen với các mạng lưới reverse-proxy môi giới hàng tỷ token bị đánh cắp trên toàn cầu.
Khám Phá Kỹ Thuật Tấn Công Mới
Các nhà nghiên cứu tại Sysdig đã báo cáo vào ngày 12 tháng 6 năm 2026, nhóm Nghiên cứu Đe dọa của họ đã phát hiện một kẻ tấn công sử dụng một máy chủ Ollama được cấu hình sai làm bộ não cho một công cụ tấn công đa giai đoạn. Khác với các trường hợp LLMJacking trước đây, tác nhân này không bán lại quyền truy cập hay trò chuyện với mô hình.
Thay vào đó, họ đã tích hợp mô hình AI vào một quy trình phần mềm được thiết kế để tự động hóa toàn bộ quá trình tấn công từ đầu đến cuối. Quy mô của vấn đề lộ lọt hạ tầng AI là rất đáng báo động.
Các nhà nghiên cứu đã thống kê khoảng 175.000 phiên bản Ollama có thể truy cập công khai trên hơn 130 quốc gia. Ollama mặc định lắng nghe trên cổng 11434 mà không có cơ chế xác thực. Do đó, bất kỳ máy chủ nào hướng ra internet đều trở thành tài nguyên AI miễn phí cho bất kỳ ai phát hiện ra nó.
Cơ Chế Hoạt Động Của Công Cụ Tấn Công
Vì công cụ của kẻ tấn công gửi các chỉ dẫn đầy đủ đến mô hình với mỗi yêu cầu, nhóm Sysdig đã thu thập được chi tiết hoạt động bên trong của khung công tác. Điều này cung cấp cho các nhà nghiên cứu một cái nhìn sớm hiếm hoi về cách các tác nhân đe dọa đang hợp nhất hạ tầng AI bị đánh cắp với các công cụ tấn công tự động trong một hoạt động duy nhất.
Hai xu hướng trước đây phát triển riêng biệt, bao gồm đánh cắp tài nguyên tính toán (compute theft) và công cụ tấn công dựa trên AI, đã hội tụ trong một cuộc tấn công bị ghi nhận. Công cụ của kẻ tấn công, mà các nhà nghiên cứu gọi là VAPT dựa trên các dấu mã nhúng, điều khiển mô hình AI thông qua một chuỗi các bước được xác định chặt chẽ.
Mỗi bước có một nhiệm vụ cụ thể, và mô hình phải trả về kết quả có cấu trúc mà phần mềm xung quanh có thể tiêu thụ tự động. Điều này giữ cho quy trình hoạt động nhanh chóng và đáng tin cậy mà không cần sự can thiệp của con người ở mỗi giai đoạn.
Các Giai Đoạn Tấn Công Quan Sát Được
Các giai đoạn được quan sát bao gồm:
- Xác định các dịch vụ trên mục tiêu.
- Đối chiếu các dịch vụ đó với các lỗ hổng đã biết.
- Xây dựng các bằng chứng về khai thác (proof-of-concept exploits).
- Tạo các payload blind SQL injection để vượt qua bộ lọc đầu vào.
- Trích xuất thông tin xác thực từ các tệp bị xâm nhập.
Một giai đoạn leo thang đặc quyền cũng đẩy sâu hơn vào hệ thống sau khi giành được quyền truy cập ban đầu. Bản thân việc trích xuất thông tin xác thực đã được thực hiện hơn một trăm lần trong chiến dịch. Điều làm cho khung công tác này đặc biệt mạnh mẽ là bộ điều phối tự động của nó, một bộ điều khiển điều khiển toàn bộ chuỗi cho đến khi đạt được việc thực thi lệnh trên mục tiêu.
Để xác nhận một sự xâm nhập thành công, công cụ sẽ chạy một lệnh cụ thể và tìm kiếm các dấu mã độc đáo bao quanh kết quả đầu ra. Một khi những dấu hiệu đó xuất hiện, mã khai thác đã được xác nhận sẽ được đóng băng thành một mẫu có thể tái sử dụng để phát lại với bất kỳ lệnh theo dõi nào.
Sự Hợp Nhất Của Compute Theft Và AI Offensive Tooling
Trong suốt chiến dịch, công cụ đã yêu cầu ít nhất bảy mô hình AI khác nhau, bao gồm các tên thương mại như GPT-4o-mini, Claude-3-5-Sonnet và Gemini-2.0-Flash-Exp cùng với các bản dựng cục bộ mã nguồn mở. Sự hiện diện của chúng cho thấy công cụ ban đầu được xây dựng cho các API trả phí và đơn giản là được chuyển hướng sang máy chủ Ollama bị đánh cắp như một sự thay thế miễn phí.
Mọi mục tiêu trong quá trình thu thập đều nằm trong một mạng riêng, không thể định tuyến (non-routable network). Kẻ tấn công đã thử nghiệm chống lại các ứng dụng giả định có tên “MediaVault Asset Portal” và “Reverb Studio”, sau đó là một loạt các môi trường phòng lab liên quan đến HackTheBox.
Không có máy chủ công cộng thực sự nào bị nhắm mục tiêu, cho thấy công cụ này vẫn đang được tinh chỉnh trước khi triển khai chống lại các nạn nhân thực tế. Các nhóm bảo mật không bao giờ nên để lộ Ollama hoặc các máy chủ mô hình tương tự ra internet công cộng, và cơ chế xác thực phải được thêm vào ở lớp proxy hoặc mạng vì không có cơ chế tích hợp sẵn nào.
Các nhóm nên giám sát các điểm cuối suy luận (inference endpoints) về khối lượng yêu cầu bất thường và kiểm tra các tài sản hướng ra internet xem có máy chủ mô hình mở hay không. Bất kỳ điểm cuối suy luận AI nào bị lộ phải được xử lý với sự khẩn cấp tương tự như một cơ sở dữ liệu hoặc bảng điều khiển quản trị bị lộ.
Chỉ Số Compromise (IoCs)
Lưu ý: Địa chỉ IP và tên miền cố tình bị làm mờ (ví dụ: [.] ) để ngăn chặn việc phân giải hoặc liên kết ngoài ý muốn. Chỉ phục hồi lại định dạng gốc bên trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
Mã khai thác (Exploit): Các payload blind SQL injection, kỹ thuật leo thang đặc quyền.
Mã độc: Công cụ tấn công tự động VAPT (được đặt tên bởi nhà nghiên cứu).
Hạ tầng: Máy chủ Ollama bị lộ, cấu hình sai, lắng nghe trên cổng 11434.
Mô hình AI bị lạm dụng: GPT-4o-mini, Claude-3-5-Sonnet, Gemini-2.0-Flash-Exp và các mô hình mã nguồn mở.
Mục tiêu kiểm thử: Ứng dụng giả định “MediaVault Asset Portal”, “Reverb Studio”, môi trường HackTheBox.
Hành vi bất thường: Khối lượng yêu cầu suy luận cao bất thường, trích xuất thông tin xác thực lặp đi lặp lại.
Cảnh báo CVE: Mặc dù không có CVE cụ thể được nêu ra trong báo cáo này, các phương pháp tấn công này thường khai thác các điểm yếu đã biết trong cấu hình hệ thống và các lỗ hổng ứng dụng web. Việc kiểm tra định kỳ các lỗ hổng hệ thống và ứng dụng là rất quan trọng. Thông tin chi tiết về các lỗ hổng mới nhất có thể được tìm thấy trên NVD: https://nvd.nist.gov/.
Điểm CVSS: Không được chỉ định cụ thể cho phương pháp tấn công tổng thể này, nhưng các lỗ hổng riêng lẻ được khai thác có thể có điểm CVSS cao, đặc biệt nếu chúng cho phép thực thi mã từ xa (RCE) hoặc leo thang đặc quyền.
