12 июня 2026 года исследовательская группа Sysdig Threat Research Team (TRT) обнаружила атакующего, который применял неправильно настроенный сервер модели Ollama в качестве исполнительного механизма для многоступенчатого автоматизированного инструмента тестирования на проникновение. Атакующий не общался с моделью и не перепродавал доступ к ней. Вместо этого он встроил доступ к нейросети в программный конвейер, который сканирует цель, сопоставляет её с известными уязвимостями, генерирует эксплойты и пытается проникнуть в среду жертвы, причём модель принимает решения на каждом этапе.
Описание
Поскольку инструмент атакующего отправляет полные инструкции модели при каждом запросе, Sysdig TRT удалось зафиксировать полную архитектуру фреймворка: логику каждого этапа, структуру, которую он накладывает на вывод модели, и сигнатуру, используемую для подтверждения компрометации. В отчёте Sysdig описывается атакующий, его фреймворк и меры защиты для владельцев инфраструктуры с собственным хостингом AI-моделей.
Данная операция стала очередным шагом в схеме, которую Sysdig TRT отслеживает с 2024 года. В мае 2024 года исследователи ввели термин LLMjacking для обозначения атакующих, использующих украденные облачные учётные данные для получения доступа к платным AI-моделям жертвы и применения вычислительной мощности за её счёт. Тогда моделирование показало, что жертвы могли терять до 46 000 долларов в день. К 2025 году LLMjacking превратился в индустриализированный чёрный рынок с инфраструктурой обратных прокси, торгующей миллиардами украденных токенов.
С переходом организаций на локальный запуск собственных моделей поверхность атаки сместилась. Ollama - популярный инструмент для развёртывания моделей на локальном оборудовании - по умолчанию слушает порт 11434 без аутентификации. Сервер, доступный из интернета, становится бесплатным ресурсом для любого, кто его найдёт. Независимые исследователи зафиксировали около 175 000 экземпляров Ollama, открытых в более чем 130 странах. Наблюдение 12 июня 2026 года стало новой эволюцией LLMjacking: атакующий использовал открытый вычислительный ресурс модели в качестве "мозга" для своего автоматизированного хакерского инструмента.
Ранее исследователи предупреждали, что AI-агенты способны связать уведомление об уязвимости с рабочим эксплойтом. В мае Sysdig задокументировала атаку, в ходе которой LLM-агент за четыре шага добрался до внутренней базы данных. Тогда механизм рассуждения работал за пределами платформы, поэтому исследователи видели действия, но не "мозг". Новый инструмент реализует ту же идею на украденной мощности, а поскольку "мозг" работает на сервере модели, находящемся под наблюдением, удалось зафиксировать и сам фреймворк. Два тренда - кража ресурсов моделей и автономное наступательное ПО - сошлись в одной зафиксированной атаке.
Первая сессия с участием этого атакующего была зафиксирована с IP-адреса 122.183.48[.]82, зарегистрированного на провайдера в Хайдарабаде (Индия). Она началась 12 июня 2026 года в 15:43 UTC и продолжалась около восьми с половиной часов. Спустя два дня инструмент вернулся. 14 июня он запускался с трёх других домашних IP-адресов в течение примерно шести с половиной часов. Все четыре сессии отнесены к одному атакующему на основании идентичного конвейера оценки уязвимостей и тестирования на проникновение (VAPT), одних и тех же частных целей и общего индийского происхождения IP-адресов.
Инструмент атакующего идентифицирует себя в коде: процедура подтверждения компрометации использует маркеры VAPTb3gin перед зондом и VAPTfin после. В отчёте инструмент обозначается как VAPT. Уязвимость здесь - не CVE, а неправильная конфигурация: сервер Ollama привязан к публичному интерфейсу без аутентификации. Такой сервер отвечает любому, кто обращается к порту 11434. Для атакующего это привлекательно по той же причине, что и традиционный LLMjacking: локальный сервер не имеет лимитов и счетов. Для инструмента, который делает сотни запросов к модели за одну атаку, экономика очевидна.
Фреймворк VAPT управляет моделью через последовательность дискретных этапов. Каждый запрос несёт инструкцию, определяющую один этап, и требует строго структурированного вывода для детерминированной обработки. За время наблюдения инструмент выполнял следующие этапы: сбор отпечатков сервисов, сопоставление уязвимостей, веб-разведка, синтез доказательства концепции, формирование слепой SQL-инъекции, извлечение учётных данных и секретов, планирование чтения произвольных файлов, повышение привилегий и автономная оркестрация. Этап оркестрации - наиболее явное свидетельство целей: его инструкция предписывает модели действовать как автономному агенту веб-эксплуатации, добиваться выполнения команд на хосте и подтверждать успех через маркеры VAPTb3gin и VAPTfin.
Оркестратор показывает инженерную проработанность инструмента. Он предоставляет модели не свободный запрос, а фиксированный набор инструментов: request(...), а также генераторы полезной нагрузки для JWT, объектов PHP, SSRF-сканирования и других случаев. Маркер __VAPTCMD__ означает, что успешный эксплойт замораживается в повторно используемый рецепт с параметризованной командой. Вторая версия оркестратора разделяет предложение полезной нагрузки и её верификацию: модель только предлагает, а отдельный детерминированный модуль (oracles.py) проверяет срабатывание, что исследователи называют "принципом нулевого ложного срабатывания".
Инструмент находился в активной разработке. За восьмичасовую сессию 12 июня набор этапов вырос: вначале были только сбор отпечатков, триаж уязвимостей, SQL-инъекция, синтез эксплойта и оркестратор; к вечеру добавились извлечение учётных данных и планирование чтения файлов; в последние полтора часа - этапы для триажа и маппинга дампов SQL. Отдельные этапы переписывались на месте: веб-разведка прошла три версии. Когда инструмент вернулся 14 июня, все наработки предыдущего сеанса уже присутствовали. Это признаки продолжающегося цикла "написал - протестировал - улучшил".
Все цели в запросах фреймворка были частными, не маршрутизируемыми сетями: RFC 1918 (172.30.0.0/24) и loopback. Использовались вымышленные тренировочные приложения MediaVault Asset Portal и Reverb Studio. 14 июня инструмент был направлен на диапазон 10.129.0.0/16, используемый лабораториями HackTheBox. Ни одна публичная цель в период наблюдения не фигурировала. Совокупность растущего набора этапов, переписываний и исключительно частных целей указывает на то, что атакующий создаёт и настраивает автономный наступательный инструмент на собственном тестовом полигоне, используя открытый ресурс модели как бесплатный двигатель для итераций. Это необычно ранняя точка наблюдения: анализ инструмента в разработке, до применения против реальных жертв. Намерения по-прежнему неясны - инструмент может использоваться и для легитимной деятельности. Однако хищение ресурсов через LLMjacking уже само по себе незаконно.
Для защитников ситуация означает следующее. Последние два года автономные наступательные AI-агенты оставались преимущественно исследовательской темой. В последнее время они начали появляться в реальных вторжениях, но обычно заметны только последствия. В данном случае атакующий запитал агента сервером модели, который можно было наблюдать, что позволило захватить сам инструмент на этапе постройки. Это замыкает цикл между двумя ранее раздельными трендами: кражей ресурсов LLMjacking и автономной эксплуатацией со стороны AI. Теперь экономика кражи вычислительных мощностей может финансировать разработку наступательных возможностей.
Распространённое условие для таких атак - незащищённые серверы моделей. Организации быстро разворачивают внутренние AI, и значительная часть этих моделей оказывается доступна из интернета без аутентификации. Около 175 000 открытых экземпляров Ollama - это не только ресурс для перепродажи, как показывает случай, но и бесплатный, анонимный исполнительный механизм для наступательного инструментария. Это риск для цепочки поставок AI, а не только угроза счетам.
Слепая зона защиты: если внешний атакующий обнаружил сервер, значит, владелец за ним не следит. Владельцы увидят возросшее потребление ресурсов и открытый порт, но не многостадийный конвейер атак. Организации, запускающие собственную AI-инфраструктуру, должны ограничить сетевую доступность Ollama, привязав к localhost или внутреннему интерфейсу, а удалённый доступ разместить за файрволом и прокси с аутентификацией. Аутентификацию необходимо добавлять на уровне прокси или сети, поскольку у Ollama её нет встроенной. Следует отслеживать аномальный объём запросов и содержимое, характерное для наступательного инструментария, включая структурированный вывод и маркерные команды. Также необходимо аудировать принадлежащие организации активы на предмет открытых серверов моделей.
LLMjacking начинался как кража платного доступа для перепродажи, но эволюционировал в применение открытых ресурсов для питания автономного наступательного инструмента. При широком распространении неаутентифицированных серверов и растущих возможностях автономных фреймворков стоимость запуска наступательного AI-инструментария стремится к нулю для любого, кто готов воровать чужие вычислительные мощности. Защита инфраструктуры self-hosted моделей должна стать организационным приоритетом.
Индикаторы компрометации
IPv4
- 122.183.48.82
- 122.183.48.195
- 122.183.48.35
- 22.183.48.82
- 47.15.69.15