LLMjacking: охота за LLM

Попытки кражи ИИ-ресурсов уже поставлены на поток. Как атакуют AI-инфраструктуру и какие меры защиты нужно принять?

LLMjacking: атаки на локальные ИИ-серверы — от разведки до защиты

В «безопасность ИИ» входит не только защита от кражи данных, ограничение опасных действий ИИ-агентов или «вредных советов» ИИ-ассистентов. Относительно простой, но уже вполне масштабной угрозой стали попытки украсть вычислительные ресурсы и воспользоваться чужой нейросетью для своих целей. Это явление получило название LLMjacking. В будущем, когда, по многим прогнозам, стоимость ИИ-вычислений значительно вырастет, атакующих с такой мотивацией станет только больше. Поэтому при внедрении собственных ИИ-серверов и их вспомогательных систем (RAG, MCP и так далее) необходимо с самого начала внедрять строгие меры безопасности.

Статистика одного сервера-приманки

Скорость охоты за чужими ресурсами и аппетиты воришек хорошо демонстрирует эксперимент, подробно задокументированный в апреле 2026 года. Автор сделал публично доступным в Интернете свой микрокомпьютер Raspberry Pi, который имитировал мощный частный ИИ-сервер. В ответ на запросы он отчитывается о доступности серверов Ollama, LM Studio, AutoGPT, LangServe, text-gen-webui, которые часто используются для «обвязки» запущенных локально ИИ-моделей. Также сервер якобы был готов принимать API-запросы в формате OpenAI, ставшем индустриальным стандартом.

Все эти службы «работали», обращаясь к запущенной локально модели Qwen3-Coder 30B Heretic, одной из мощнейших open-source-моделей со снятыми ограничениями безопасности (safety alignment). Дополнительно сервер-приманка отчитывался о наличии разнообразных баз данных RAG и MCP-сервера с привлекательными возможностями вроде «get_credentials» (получить учетные данные).

На самом деле на Raspberry PI просто были сохранены 500 ответов настоящей модели Qwen3, из которых несложный скрипт выбирал наиболее подходящий с учетом присланного запроса. Таким образом система выдерживала поверхностную проверку и могла проанализировать интересы атакующих.

По данным автора, сервер, выставленный в Интернет, был просканирован популярным сервисом Shodan в течение 3 часов, после чего буквально через час посыпались уже запросы, похожие на разведку возможностей. Всего за следующий месяц сервер обслужил более 113 тысяч запросов с тысяч различных IP, причем 23% из них были узко направлены на обнаружение ИИ-возможностей жертвы и эксплуатацию локальных LLM и ИИ-агентов.

Запросы вроде «/api/tags» и «/v1/models» позволяют определить, какие модели есть на сервере, сканирование «.cursor/rules» предшествует попытке эксплуатации ИИ-агента, а проверка «/.well-known/mcp.json» является инвентаризацией чужих MCP-серверов. Автор не приводит общее количество атак, которые пошли дальше простого сканирования, но только за последнюю неделю эксперимента активных попыток пользоваться чужой LLM было 175.

Чего хотят злоумышленники

По наблюдениям исследователя, никто из тех, кто проводил атаки на его фальшивый сервер, не пытался выполнить произвольный код или получить права суперпользователя (от редакции отметим, что это удивительно и может свидетельствовать о пробелах в протоколировании эксперимента). Почти все атаки сводились к попытке воспользоваться чужими ресурсами бесплатно; например, в ходе эксперимента были зафиксированы:

  • хорошо структурированная попытка разобрать техническую документацию на микропроцессор;
  • запрос написать серию эротических рассказов;
  • разбор и структурирование текстовых данных о новых уязвимостях, собранных в соцсетях;
  • попытка обратиться к моделям Anthropic с использованием атакованного сервера в качестве API-прокси.

Примечательно, что разведка ИИ-ресурсов проводится с помощью уже стандартизованных и быстро развивающихся инструментов. Запросы от сканера LLM-Scanner приходили из инфраструктуры семи облачных провайдеров в восьми странах, что может свидетельствовать о том, что у любителей бесплатных вычислений есть наработанные методики и места обмена технологиями. А на третьей неделе эксперимента сканер обзавелся дополнительной проверкой, которая по простым абстрактным вопросам определяет, отвечает ли настоящая нейросеть или приманка с типовыми записями ответов.

Среди неспецифичных атак в эксперименте отмечены многочисленные попытки украсть учетные данные из файла .env. Этот файл пытаются найти во всех мыслимых каталогах сервера. Забыть файл .env в публичном доступе на сервере — одна из примитивнейших ошибок публикации проектов на Laravel, Node.js и других фреймворках, но ее часто допускают, особенно новички и вайб-кодеры. Поэтому злоумышленники вполне обоснованно рассчитывают на успех.

Выводы и рекомендации по защите

Сканирование публично доступных серверов и попытки их эксплуатации совершенно не новы, но с появлением LLM у злоумышленников есть еще один способ монетизировать свою атаку, причем достаточно прибыльный и одновременно наносящий жертве большой ущерб. Чтобы понять, насколько масштабны могут быть атаки, стоит посмотреть на их близкий аналог — сложившийся криминальный рынок «криптоджекинга», нелегального майнинга криптовалюты на чужих мощностях, который вырос на 20% за 2025 год. По мере распространения ИИ-решений, с учетом подорожания подписок крупных провайдеров и дефицита чипов для локального ИИ, стоит ожидать, что кража ИИ-вычислений (LLMjacking) тоже будет явлением промышленного масштаба.

Вот основные меры по защите от атак на частную ИИ-инфраструктуру:

  • Для ИИ-систем, запущенных локально, на одном компьютере, нужно убедиться, что сервер LM Studio, Ollama или подобный принимает соединения только на локальном интерфейсе, а не на всех интерфейсах. Это ограничивает доступ к LLM лишь машиной, где запущена система, а обратиться к ИИ из Интернета нельзя.
  • Для серверов, обслуживающих чужие запросы (даже если сервер работает только в локальной сети организации), нужно использовать строгую аутентификацию и авторизацию, а не ограничиваться проверкой API-ключа. Наиболее эффективны решения на базе OIDC или OAuth2 и короткоживущих токенов. Это не только защитит от атак LLMjacking, но и позволит точнее отслеживать деятельность пользователей и пресекать злоупотребление API-ключами. Кстати, ключи надо защищать не только от внешних злоумышленников, теперь в числе рисков — злоупотребление ключами со стороны ИИ-агентов. Это относится к интерфейсам как LLM, так и MCP, RAG и так далее.
  • Используйте сегментацию сетей и закрытые списки IP, чтобы ограничить доступ к ИИ-серверам только теми отделами, сотрудниками и сервисами, которым он необходим.
  • Убедитесь, что все соединения клиентов и серверов защищены современной версией TLS.
  • Используйте принцип наименьших привилегий и разделяйте доступ к конкретным сервисам, для MCP и LLM должны быть свои токены доступа.
  • Убедитесь, что агент защиты EDR установлен на всех рабочих компьютерах и серверах, включая серверы ИИ-моделей.
  • Протоколируйте объемы использования ИИ-ресурсов, установите квоты для разных ролей сотрудников и оповещения об аномальных всплесках активности.
  • Подробно журналируйте запросы к LLM и к вспомогательным инструментам и ответы модели. Настройте интеграцию этих источников данных с вашей SIEM. Убедитесь, что журналы устойчивы к попыткам модификации и уничтожения.
Почти половина паролей в мире взламывается меньше чем за минуту

Минута – и (почти) каждый второй пароль взломан

Мы повторили исследование стойкости ко взлому реальных паролей, собранных из утечек в даркнете, впервые проведенное нами два года назад. Результаты неутешительны: практически каждый второй пароль ломается быстрее чем за минуту, а три из пяти — менее чем за час. Как уйти от небезопасных паролей?

Почти половина паролей в мире взламывается меньше чем за минуту
Советы

Как отключить слежку в iOS?

У вас есть iPhone, iPad или iPod? Потратьте несколько минут на настройку служб геолокации, чтобы сэкономить заряд батареи и сохранить конфиденциальность перемещений.

  • For all other countries