Киберпреступники активно сканируют и атакуют развернутые модели искусственного интеллекта, выяснили исследователи

Первая кампания, активная с октября, была направлена на эксплуатацию уязвимостей типа SSRF. Этот метод позволяет заставить целевой сервер выполнить несанкционированные исходящие запросы к инфраструктуре злоумышленника. Атаки фокусировались на двух векторах. Во-первых, использовалась функция загрузки моделей в Ollama, куда внедрялись вредоносные URL-адреса реестров. Во-вторых, атаковались интеграции Twilio SMS, где манипулировали параметрами для отправки запросов. Пик активности пришелся на рождественские праздники, когда за 48 часов было зафиксировано 1688 сессий. Для подтверждения успешной эксплуатации уязвимостей атакующие использовали инфраструктуру OAST от ProjectDiscovery, предназначенную для out-of-band тестирования на безопасность.

Анализ отпечатков сетевой активности показал, что 99% атак имели идентичную сигнатуру JA4H, что указывает на использование общего автоматизированного инструментария, вероятно, фреймворка Nuclei. Хотя атаки исходили с 62 IP-адресов из 27 стран, схожие отпечатки говорят об использовании виртуальных частных серверов, а не ботнета. По оценке исследователей, эта кампания, скорее всего, является работой сообщества исследователей безопасности или охотников за баг-баунти, проверяющих системы на прочность, однако ее масштаб и время проведения указывают на "серые" методы работы.

Вторая кампания, начавшаяся 28 декабря 2025 года, представляет гораздо большую опасность для организаций. Два IP-адреса инициировали методичное зондирование более 73 различных конечных точек API, предназначенных для работы с большими языковыми моделями. За одиннадцать дней они сгенерировали свыше 80 тысяч сессий, проводя систематическую разведку в поисках сконфигурированных прокси-серверов, которые могли бы предоставить несанкционированный доступ к коммерческим API.

Зондирование охватило все основные семейства моделей, включая OpenAI, Anthropic, Meta, Google Gemini, Mistral, Alibaba и xAI. Запросы были намеренно безобидными, например, "Привет" или "Сколько штатов в США?", что, вероятно, преследовало цель определить тип отвечающей модели, не вызывая срабатывания систем безопасности. Анализ инфраструктуры выявил прямую связь с известными вредоносными активностями. Задействованные IP-адреса имеют долгую историю эксплуатации уязвимостей, включая CVE-2025-55182 и CVE-2023-1389, и в совокупности зафиксированы сенсорами GreyNoise более 4 миллионов раз. Эксперты оценивают эту кампанию как разведку, проводимую профессиональными злоумышленниками, и считают, что собранные данные будут использованы для последующих целевых атак.

Для защиты инфраструктуры исследователи рекомендуют предпринять ряд мер. Необходимо жестко ограничить источники загрузки моделей в Ollama только доверенными реестрами и настроить фильтрацию исходящего трафика для блокировки SSRF. Важно внедрить обнаружение паттернов разведки, создавая оповещения на быстрые последовательные запросы к разным моделям. Также рекомендуется блокировать на уровне DNS известные домены OAST, используемые для callback-запросов, и ограничивать скорость соединения с подозрительными автономными системами, фигурировавшими в атаках. Мониторинг специфических сетевых отпечатков, таких как JA4H и JA4T, поможет выявить используемый атакующими инструментарий.

Масштаб кампании по перебору моделей, превысивший 80 тысяч запросов, свидетельствует о значительных инвестициях злоумышленников в разведку. Подобные усилия не предпринимаются без конкретных планов на будущее использование собранных данных. Организациям, имеющим публично доступные конечные точки для работы с большими языковыми моделями, следует предположить, что они уже попали в поле зрения угроз, и принять незамедлительные меры по усилению безопасности своих AI-развертываний.

IPv4

• 112.134.208.214

• 134.122.136.119
• 134.122.136.96
• 146.70.124.165
• 146.70.124.188
• 204.76.203.125
• 45.88.186.70