Ces dernières semaines, la sécurité des modèles linguistiques à grande échelle (LLM) a cessé d'être une préoccupation théorique pour devenir une cible réelle et lucrative du crime organisé. Les chercheurs qui ont déployé des pots à miel conçus pour simuler les services d'AI ont observé un volume considérable de tentatives d'accès non autorisées, ce qui a permis de découvrir une opération criminelle qui commercialise l'accès à une infrastructure d'AI mal configurée.
L'équipe Pillar Security a documenté plus de 35 000 sessions d'attaque en seulement 40 jours, un rythme qui souligne la vitesse à laquelle les attaquants détectent et profitent des points exposés. Ces conclusions, rapportées dans le rapport sur la sécurité du pilier, décrivent une campagne baptisée Bazarre Bazar Quels analystes considèrent l'un des premiers exemples attribués à un acteur particulier de ce qu'on appelle déjà "LLMjacking": la prise et la monétisation des paramètres LLM non protégés. Vous pouvez lire le rapport technique de Pilier Sécurité sur votre page officielle: Sécurité du pilier - Opération Bizarre Bazaar.
Le but de ces accès n'est pas seulement de causer des coûts pour les inférences; l'entreprise criminelle est multiple. Parmi les motivations identifiées figurent l'utilisation de capacités informatiques volées pour l'exploitation de cryptomonéda, la revente de l'accès aux API de l'IA sur des marchés fortement opaques, le vol de données contenues dans des invitations et des histoires de conversation, et la tentative de se déplacer latéralement au sein de l'infrastructure d'entreprise à travers des serveurs du protocole de contexte type (MCP). La combinaison de dépenses d'exploitation élevées, d'informations sensibles et de vecteurs de mouvement latéraux fait des paramètres LLM une cible très rentable Comme le soulignent les chercheurs.
La technique habituelle des attaquants commence par une analyse Internet à grande échelle pour localiser les services exposés : exemples de modèles auto-tenus, API compatibles OpenAI qui sont ouvertes dans des ports communs, serveurs MCP accessibles au public et environnements de développement ou empilage avec IP publique. Les mauvais configurés qu'ils ont détectés incluent des paramètres non authentifiés dans des solutions telles que Olama et APis OpenAI qui sont exposés dans des ports typiques; ces erreurs sont généralement visibles dans quelques minutes ou heures après leur apparition dans les demandeurs de services Internet comme Shodan ou Censys, qui facilite une exploitation rapide.
Il ne s'agit pas seulement d'attaquants opportunistes : Pilier décrit une chaîne criminelle organisée avec des rôles différents. Certains robots effectuent une exploration initiale, d'autres valident et testent les accès, et un troisième gère la commercialisation de ces accès par un service qui fonctionne publiquement dans des canaux de messagerie difficiles à suivre. Ce service favorise une plateforme qui promet un accès unifié à des dizaines de modèles, une proposition attrayante pour les acheteurs peu scrupuleux qui préfèrent payer avec cryptomonedas ou des méthodes alternatives. Les chercheurs ont associé l'opération à des alias spécifiques utilisés par des opérateurs présumés.
Parallèlement, les campagnes se sont concentrées exclusivement sur la reconnaissance des paramètres MCP, une tactique inquiétante parce que ces serveurs peuvent offrir la porte pour des actions plus impact : interaction avec les clusters Kubernetes, accès aux services cloud et exécution de commandes dans des systèmes compromis. Dans de nombreux scénarios, ce type d'accès permet aux attaquants d'écheller les privilèges et de se déplacer latéralement, avec des conséquences qui vont bien au-delà du coût par inférence.
L'enquête de Pilier ne se produit pas dans le vide: d'autres équipes ont détecté une activité similaire. Au début du mois, GreyNoise a publié des analyses montrant des scans massifs pour les services commerciaux LLM dans le but d'énumérer les paramètres disponibles, signe supplémentaire que la visibilité publique de l'infrastructure IA est devenue une source exploitable. Vous pouvez consulter l'analyse générale de GreyBruit sur son blog: GreenBoise - Blog. En outre, des moyens spécialisés tels que Calculateur ils ont recueilli les conclusions de Pilier et ont essayé de contacter les services susmentionnés pour leurs explications.
Que peuvent faire les organisations pour se protéger? D'abord, traitez les paramètres de la LLM comme des ressources sensibles et coûteuses. Il est essentiel de s'assurer que tout service d'inférence exposé nécessite une authentification robuste, que les API sont derrière les portes de liaison qui limitent l'utilisation et le taux de demandes, et que les instances de développement ou de mise en place ne sont pas accessibles depuis Internet en mode ouvert. Il convient également d'appliquer des règles de segmentation du réseau, de pare-feu qui restreignent l'accès IP, la rotation et la protection des clés, ainsi que l'enregistrement télémétrique complet pour détecter les pics d'utilisation inhabituels qui peuvent indiquer un abus. Une surveillance précoce et une réponse automatisée à des profils anormaux peuvent signifier la différence entre un incident mineur et une vaste intrusion d'impact.
Il est tout aussi important d'examiner la politique de maintien et d'accès aux délais et aux pourparlers. De nombreuses équipes stockent des antécédents ou des exemples d'interaction pouvant contenir des données sensibles; en cas de filtration, ces informations peuvent faciliter la fraude, le génie social ou la filtration de propriété intellectuelle. Limiter ce qui est sauvegardé, anonymiser les données dans la mesure du possible, et vérifier qui et comment accéder à ces documents sont des mesures de réduction des risques.
La leçon est claire: l'adoption accélérée de l'IA commerciale a créé de nouvelles zones d'attaque qui nécessitent la maturité opérationnelle. Les fournisseurs de modèles, les plates-formes d'orchestration et les équipes internes devraient travailler ensemble pour imposer des contrôles minimaux et partager les indicateurs d'engagement. Pendant ce temps, des scans massifs et des marchés qui revendent l'accès continueront de fonctionner; jusqu'à ce que la sécurité et la gouvernance soient intégrées dans la conception de l'infrastructure IA, des campagnes comme Bizarre Bazaar trouveront de nouvelles victimes.
Pour approfondir les sources originales et les recommandations en matière de sécurité, il convient de lire le rapport sur la sécurité du pilier et de consulter les ressources sur la sécurité de l'API et les pratiques sécuritaires de déploiement des modèles : Rapport sur la sécurité du pilier, couverture des nouvelles en Calculateur et documentation générale sur l'exposition des services sur Internet, Shodan et Censys. Si vous gérez ou développez des services IA, il est temps de vérifier l'accès et de supposer que tout paramètre découvert publiquement peut être attaqué en quelques heures.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...