2026年6月12日、Sysdig脅威リサーチチーム(TRT)は、人工知能の悪用における重大な進化を発見しました。
脅威アクターは今や、クラウドのコンピューティングリソースを単純に窃取するだけにとどまらず、設定ミスのあるAIインフラを武器化して、自動化されたマルチステージの攻撃的セキュリティツールを動かすようになっています。
具体的には、攻撃者が公開状態のOllamaモデルサーバーを悪用し、自律型ペネトレーションテストフレームワークの推論エンジンとして機能させている事例が研究者によって確認されました。
このインシデントは、「LLMjacking」として知られる脅威パターンの重大な転換点を示しています。LLMjackingは2024年に、有料AIサービスへのアクセスを目的としたクラウド認証情報の窃取として初めて確認されましたが、その後急速に高度化しています。
研究者がインターネット上に公開されている認証なしのOllamaインスタンスを世界で約175,000件記録する中、攻撃者はこうした無償のセルフホスト型環境を活用しています。
これにより、費用を一切かけることなく、また商用APIキーに紐づいた課金異常を引き起こすことなく、攻撃的な活動を展開できます。
脅威アクターは単なる対話型クエリを行うのではなく、公開されたAIモデルをソフトウェアパイプラインに直接組み込みました。このパイプラインは自律的にターゲットをスキャンし、既知の脆弱性と照合して概念実証エクスプロイトを生成し、ネットワークへの侵入を試みます。
ソースコード内で「VAPT」と自称する捕捉済みのこのツールは、乗っ取ったAIモデルを一連の確定的なステージに沿って動作させます。
各リクエストには具体的な指示が含まれており、後続のコードが実行のためにパースできる、厳密に構造化された出力が要求されます。
攻撃者はこのフレームワークをバックエンド非依存の設計としており、MistralやDeepSeekなどのオープンウェイトモデルを含む、少なくとも7種類のモデルを名指しでリクエストしています。
このフレームワークは複数の異なるペネトレーションテストフェーズを順次、自律的に実行します。ネットワークサービスのバナーを正確なソフトウェア識別情報に正規化し、脆弱性の照合に活用します。
さらに、使用可能な認証情報やAPIキーを抽出し、リモートコード実行が達成されるまで攻撃チェーン全体を指揮します。
Sysdigの調査によると、コンピューティングリソースの窃取と自律型攻撃AIの融合は、早急な防御態勢の見直しを必要としています。
従来の監視手法はオペレーターがサーバーを管理していることを前提としているため、公開された未監視のローカルポートを悪用する攻撃者は、侵入の試みとして検知されるのではなく、単なるコンピューティング使用量の増加としか現れません。
セルフホスト型AIインフラを管理するセキュリティチームは、推論エンドポイントを機密性の高いデータベースと同等の厳格なアクセス制御のもとで管理する必要があります。
組織はポート11434をパブリックインターネットに公開せず、モデルサーバーがlocalhostまたは内部インターフェースのみにバインドされるよう徹底してください。
また、Ollamaなどのツールにはネイティブな認証機能がないため、管理者はリバースプロキシを用いてすべてのモデルエンドポイントの前段に認証を設ける必要があります。
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンクによるアクセスを防ぐため、意図的に無害化処理(例:[.])が施されています。MISP、VirusTotal、SIEMなどのコントロールされた脅威インテリジェンスプラットフォーム上でのみ、元の表記に戻して使用してください。
翻訳元: https://cyberpress.org/remote-tools-bypass-detection/
