最新研究表明，網絡攻擊者正在利用泄露的云憑證在幾分鐘內劫持企業AI系統。近期事件顯示，攻擊者能夠在19分鐘內攻破大型語言模型（LLM）的基礎設施。

這種被稱為“LLMjacking”的攻擊方法以非人類身份（NHIs）——如API密鑰、服務賬戶和機器憑證——為目標，繞過傳統安全控制，并利用竊取的生成式AI訪問權限牟利。

LLMjacking的攻擊鏈

安全公司Entro Labs最近在GitHub、Pastebin和Reddit上發布了功能性AWS密鑰，以研究攻擊者的行為。

他們的研究揭示了一種系統化的四階段攻擊模式：

LLMJacking攻擊鏈

(1) 憑證收集：自動化的機器人使用Python腳本掃描公共代碼庫和論壇，以檢測有效憑證，其中44%的非人類身份是通過代碼庫和協作平臺泄露的。

(2) 快速驗證：攻擊者在憑證暴露后的9-17分鐘內執行初始API調用（如GetCostAndUsage）以評估賬戶價值，并避免使用可預測的調用（如GetCallerIdentity）以逃避檢測。

不同泄露位置的密鑰訪問平均時間

(3) 模型枚舉：入侵者通過AWS Bedrock執行GetFoundationModelAvailability請求，以列出可訪問的LLM——包括Anthropic的Claude和Amazon Titan——并映射可用的攻擊面。

(4) 利用：攻擊者對受損端點進行自動化的InvokeModel嘗試，研究人員在實驗密鑰中觀察到每小時超過1200次未經授權的推理嘗試。

Storm-2139網絡犯罪集團最近利用這種方法攻擊了Microsoft Azure AI客戶，竊取API密鑰以生成暗網內容。取證日志顯示，攻擊者：

• 使用Python的requests庫進行憑證驗證
• 使用aws s3 ls命令識別AI/ML存儲桶
• 嘗試通過精心設計的提示繞過內容過濾器執行bedrock: InvokeModel

Entro的模擬漏洞測試顯示，攻擊者將自動化腳本與手動偵察相結合——63%的初始訪問使用了Python SDK，而37%使用Firefox用戶代理通過AWS控制臺進行交互式探索。

未受控制的LLMjacking帶來了嚴重的風險：

• 成本濫用：一個具有Bedrock訪問權限的受損非人類身份可能每天產生46000美元的未經授權推理費用。
• 數據泄露：在22%的觀察事件中，攻擊者泄露了模型配置和訓練數據元數據。
• 聲譽損害：微軟2025年第一季度的漏洞事件中，威脅行為者使用竊取的Azure OpenAI密鑰生成了超過14000張深度偽造圖像。

緩解策略

• 實時檢測和監控非人類身份
• 實施自動化的密鑰輪換
• 強制執行最小權限原則
• 監控異常的API活動
• 教育開發人員如何安全管理非人類身份

隨著攻擊者在20分鐘內即可利用泄露的密鑰，實時密鑰掃描和自動輪換不再是一種可選的保護措施，而是LLM時代的關鍵生存機制。