Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
Dark Reading · 1T SIDEN · sikkerhet

Angripere kaprer eksponerte Ollama- og LiteLLM-endepunkter til offensive operasjoner

SYNOPSIS_GENERERT

Sikkerhetsselskapet Zenity observerte mellom mars og mai tre kampanjer der angripere kapret usikrede Ollama- og LiteLLM-endepunkter og brukte dem som gratis infrastruktur for offensive KI-operasjoner.

175 000 Ollama-servere sto eksponert mot internett i januar 2026, fordelt på 130 land. Nå viser sikkerhetsselskapet Zenity hva angripere faktisk gjør med dem: mellom mars og mai fanget honeypot-ene deres tre separate kampanjer som kapret usikrede inferens-endepunkter og vendte dem mot nye mål.

Angrepet krever ingen full kompromittering. Ollama eksponerer /api/generate og /api/chat på port 11434 uten innebygd autentisering, mens LiteLLM-proxyen svarer på /v1/responses på port 4000 med autentisering som er opt-in, avhengig av om du har satt en master-nøkkel. Ollama binder seg som standard til localhost, men blir ofte feilkonfigurert til å lytte på alle grensesnitt. Da holder det at angriperen vet hvor endepunktet er.

De tre kampanjene brukte den kaprede kapasiteten til ulike formål. Én operatør sendte en prompt på 140 000 tegn gjennom en LiteLLM-klient for å våpengjøre angrepsrammeverket Strix mot et fransk auksjonshus. En annen pekte en desktop-LLM-klient mot Ollama-instansen og matet den HexStrike AIs verktøykasse på over 150 offensive verktøy. Den tredje rettet en OpenAI Codex-agent mot LiteLLM-proxyen og ba den, under dekke av å være «sikkerhetsrevisor», utføre reverse engineering av web-applikasjoner.

Teknikken er en videreutvikling av «LLMjacking», der angripere først stjal API-nøkler for å kjøre egne modellkall på andres regning. Nå er målet ikke bare gratis databehandling, men å bruke kapasiteten som selve angrepsinfrastrukturen: honeypot-ene viste agenter som planla og utførte rekognosering og exploit-arbeid uten at operatøren måtte røre egen maskin.

For deg som selvhoster en modell er poenget at et åpent endepunkt ikke bare koster deg GPU-tid og API-kvote. Det gjør maskinen din til et ledd i andres angrep, med din IP-adresse som avsender.

Hva bør du gjøre?

  1. Bind Ollama til localhost med OLLAMA_HOST=127.0.0.1, og legg en autentisert reverse proxy foran hvis du må nå den utenfra.
  2. Sett en master-nøkkel i LiteLLM, og eksponer aldri port 4000 direkte mot internett.
  3. Sjekk om instansen din allerede er synlig: søk etter din egen IP på Shodan eller Censys, og steng port 11434 og 4000 i brannmuren.

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN