Onderzoekers ontdekken 'LLMjacking'-programma gericht op in de cloud gehoste AI-modellen

Cybersecurity-onderzoekers hebben een nieuwe aanval ontdekt waarbij gebruik wordt gemaakt van gestolen cloudreferenties om zich te richten op in de cloud gehoste Large Language Model (LLM)-services met als doel toegang te verkopen aan andere bedreigingsactoren.

De aanvalstechniek heeft de codenaam gekregen LLM-jacking door het Sysdig Threat Research-team.

“Zodra de eerste toegang was verkregen, exfiltreerden ze de cloudreferenties en kregen ze toegang tot de cloudomgeving, waar ze probeerden toegang te krijgen tot lokale LLM-modellen die werden gehost door cloudproviders”, aldus beveiligingsonderzoeker Alessandro Brucato. “In dit geval was een lokaal Claude (v2/v3) LLM-model van Anthropic het doelwit.”

Het inbraaktraject dat wordt gebruikt om dit plan uit te voeren, houdt in dat een systeem wordt gehackt waarop een kwetsbare versie van het Laravel Framework draait (bijvoorbeeld CVE-2021-3129), gevolgd door het bemachtigen van Amazon Web Services (AWS)-referenties om toegang te krijgen tot de LLM-services.

Een van de gebruikte tools is een open-source Python-script dat sleutels controleert en valideert voor verschillende aanbiedingen van onder meer Anthropic, AWS Bedrock, Google Cloud Vertex AI, Mistral en OpenAI.

“Tijdens de verificatiefase zijn er feitelijk geen legitieme LLM-query's uitgevoerd”, legt Brucato uit. “In plaats daarvan werd er net genoeg gedaan om erachter te komen waartoe de inloggegevens in staat waren en welke quota er waren.”

De keychecker heeft ook integratie met een andere open-source tool genaamd oai-reverse-proxy die functioneert als een reverse proxy-server voor LLM API's, wat aangeeft dat de bedreigingsactoren waarschijnlijk toegang bieden tot de gecompromitteerde accounts zonder daadwerkelijk de onderliggende inloggegevens bloot te leggen.

“Als de aanvallers een inventaris van nuttige inloggegevens zouden verzamelen en toegang tot de beschikbare LLM-modellen willen verkopen, zou een dergelijke reverse proxy hen in staat kunnen stellen geld te verdienen met hun inspanningen”, aldus Brucato.

Bovendien is waargenomen dat de aanvallers de logboekinstellingen opvroegen in een waarschijnlijke poging om detectie te omzeilen wanneer ze de gecompromitteerde inloggegevens gebruikten om hun prompts uit te voeren.

De ontwikkeling wijkt af van aanvallen die zich richten op snelle injecties en modelvergiftiging, maar stelt aanvallers in staat geld te verdienen met hun toegang tot de LLM's, terwijl de eigenaar van het cloudaccount de rekening betaalt zonder hun medeweten of toestemming.

Sysdig zei dat een dergelijke aanval het slachtoffer meer dan 46.000 dollar aan LLM-consumptiekosten per dag zou kunnen opleveren.

“Het gebruik van LLM-services kan duur zijn, afhankelijk van het model en de hoeveelheid tokens die eraan worden toegevoegd”, aldus Brucato. “Door de quotalimieten te maximaliseren, kunnen aanvallers de gecompromitteerde organisatie er ook van weerhouden modellen op legitieme wijze te gebruiken, waardoor de bedrijfsactiviteiten worden verstoord.”

Organisaties wordt aangeraden gedetailleerde logboekregistratie in te schakelen en cloudlogboeken te controleren op verdachte of ongeautoriseerde activiteiten, en ervoor te zorgen dat er effectieve processen voor kwetsbaarheidsbeheer aanwezig zijn om initiële toegang te voorkomen.

Thijs Van der Does