In den letzten Wochen hat die Sicherheit von groß angelegten Sprachmodellen (LLM) keine theoretische Sorge, ein echtes und lukratives Ziel für das organisierte Verbrechen zu werden. Forscher, die Honeypots eingesetzt haben, um IA-Dienste zu simulieren, haben ein enormes Volumen von unbefugten Zugriffsversuchen beobachtet, die es ermöglicht haben, eine kriminelle Operation zu entdecken, die den Zugang zu schlecht konfigurierten IA-Infrastrukturen vermarktet.
Das Pillar Security Team dokumentierte in nur 40 Tagen mehr als 35.000 Angriffssitzungen, einen Rhythmus, der die Geschwindigkeit, mit der Angreifer erkennen und nutzen exponierte Punkte. Diese Ergebnisse, die im Bericht Pillar Security berichtet wurden, beschreiben eine Kampagne, die als Bizarr Basar welche Analysten eines der ersten Beispiele betrachten, die einem bestimmten Akteur des sogenannten "LLMjacking" zugeschrieben werden: die Einnahme und Monetarisierung ungeschützter LLM-Endpunkte. Sie können den technischen Bericht von Pillar Security auf Ihrer offiziellen Seite lesen: Säule Sicherheit - Operation Bizarre Basar.
Der Zweck dieser Zugänge ist nicht nur die Kosten für Inferenzen zu verursachen; das kriminelle Geschäft ist mehrfach. Unter den identifizierten Motivationen sind die Verwendung von gestohlenen Computerkapazität für Kryptomoneda-Mining, der Weiterverkauf von Zugriff auf APIs von IA in stark opaken Märkten, die Diebstahl von Daten in Aufforderungen und Gesprächshistorie enthalten, und der Versuch, seitlich innerhalb der Unternehmensinfrastruktur durch Server des sogenannten Model Context Protocol (MCP) zu bewegen. Die Kombination von hohen Betriebsaufwand, sensiblen Informationen und seitlichen Bewegungsvektoren macht LLM Endpunkte zu einem sehr kostengünstigen Ziel wie die Forscher zeigen.
Die übliche Technik der Angreifer beginnt mit einem groß angelegten Internet-Scan, um exponierte Dienste zu lokalisieren: selbstständige Modellinstanzen, OpenAI-kompatible APIs, die in gemeinsamen Ports, öffentlich zugänglichen MCP-Servern und Entwicklungsumgebungen oder Stapeln mit öffentlicher IP geöffnet sind. Die von ihnen erkannten schlechten Konfigurationen umfassen unauthenticated Endpoints in Lösungen wie Olama und APis OpenAI, die in typischen Ports belichtet werden; diese Fehler sind in der Regel in wenigen Minuten oder Stunden sichtbar, nachdem sie in Internet-Service-Suchern erscheinen, wie Shodan oder Censys, die eine rasche Ausbeutung erleichtert.
Es geht nicht nur um opportunistische Angreifer: Pillar beschreibt eine organisierte kriminelle Kette mit verschiedenen Rollen. Einige Bots führen erste Explorationen durch, andere validieren und testen Zugriffe, und ein Drittel verwaltet die Vermarktung dieser Zugriffe durch einen Service, der öffentlich in schwer zu verfolgenden Messaging-Kanälen arbeitet. Dieser Service fördert eine Plattform, die einen einheitlichen Zugang zu Dutzenden von Modellen verspricht, einen attraktiven Vorschlag für skrupellose Käufer, die lieber mit Kryptomonedas oder alternative Methoden bezahlen. Die Forscher haben die Operation mit bestimmten Alias, die von angeblichen Betreibern verwendet werden, verbunden.
Parallel konzentrierten sich Kampagnen ausschließlich auf die Erkennung von Endpoints MCP, eine besorgniserregende Taktik, weil diese Server die Tür für weitere Wirkungsaktionen bieten können: Interaktion mit Kubernetes-Clustern, Zugriff auf Cloud-Dienste und Ausführung von Befehlen in kompromittierten Systemen. In vielen Szenarien ermöglicht diese Art von Zugang Angreifern, Privilegien zu skalieren und seitlich zu bewegen, mit Konsequenzen, die weit über Kosten pro Inferenz hinausgehen.
Die Untersuchung von Pillar entsteht nicht im Vakuum: andere Teams haben ähnliche Aktivitäten erkannt. Zu Beginn des Monats veröffentlichte GreyNoise Analysen mit massiven Scans für LLM kommerzielle Dienstleistungen mit dem Ziel, verfügbare Endpunkte aufzulisten, ein weiteres Zeichen, dass die öffentliche Sichtbarkeit der IA-Infrastruktur zu einer ausbezahlbaren Quelle geworden ist. Sie können die allgemeine Analyse von GreyNoise auf seinem Blog überprüfen: GreenNoise - Blog. Darüber hinaus sind spezialisierte Mittel wie BlepingComputer sie haben die Schlussfolgerungen von Pillar gesammelt und versucht, die oben genannten Dienste für ihre Erklärungen zu kontaktieren.
Was können Organisationen tun, um sich zu schützen? Zuerst behandeln Sie die Endpunkte von LLM als sensible und kostspielige Ressourcen. Es ist wichtig sicherzustellen, dass jeder freiliegende Inferenz-Service eine robuste Authentifizierung erfordert, dass APIs hinter Link-Türen stehen, die die Nutzung und Rate der Anfragen begrenzen, und dass Entwicklungs- oder Inszenierung Instanzen im offenen Modus nicht aus dem Internet zugänglich sind. Es ist auch angebracht, Netzwerksegmentierung, Firewall-Regeln anzuwenden, die IP-Zugang, Schlüsseldrehung und Schutz und umfassende Telemetrie-Aufzeichnung einschränken, um ungewöhnliche Nutzungsspitzen zu erkennen, die Missbrauch andeuten können. Frühe Überwachung und automatisierte Reaktion auf anormale Muster kann den Unterschied zwischen einem kleinen Zwischenfall und einem breiten Aufprall bedeuten.
Ebenso wichtig ist die Überprüfung der Retentionspolitik und des Zugangs zu Aufforderungen und Gesprächen. Viele Teams speichern Histories oder Interaktionsbeispiele, die sensible Daten enthalten können; im Falle der Filtration können solche Informationen Betrug, Social Engineering oder geistiges Eigentum Filtration erleichtern. Einschränkung der gespeicherten Daten, Anonymisierung von Daten, soweit möglich, und Prüfung, wer und wie auf solche Datensätze zugreifen, sind risikoreduzierende Maßnahmen.
Die Lektion ist klar: Die beschleunigte Übernahme des Geschäfts IA hat neue Angriffsgebiete geschaffen, die eine operative Reife erfordern. Modellanbieter, Orchestrationsplattformen und interne Teams sollten zusammenarbeiten, um Mindestkontrollen aufzuzwingen und Verpflichtungsindikatoren zu teilen. In der Zwischenzeit werden massive Scans und Märkte, die den Zugang wieder verkaufen, weiter funktionieren; bis Sicherheit und Governance in das Design der IA-Infrastruktur integriert sind, werden Kampagnen wie Bizarre Bazaar neue Opfer finden.
Um die ursprünglichen Quellen und Sicherheitsempfehlungen zu vertiefen, lohnt es sich, den Bericht Pillar Security und die Beratungsressourcen für API-Sicherheit und sichere Modell-Bereitstellungspraktiken zu lesen: Säule Sicherheitsbericht, Nachrichtenübermittlung BlepingComputer und allgemeine Dokumentation über die Erbringung von Dienstleistungen im Internet, Shodan und Censys. Wenn Sie IA-Dienste verwalten oder entwickeln, ist es an der Zeit, Zugang zu prüfen und davon auszugehen, dass jeder öffentlich entdeckte Endpunkt innerhalb von Stunden angegriffen werden kann.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...