AID-H-004.002
極高
Service & API Authentication
最直接的阻斷點是在推理開始前。Ollama 和 LiteLLM 後端應該要求真正的服務或管理者身分,例如受管理的 API key(用來驗證服務呼叫的金鑰),或 OAuth 這類服務憑證。測試用 key 或未設定 master key,都不應該成為正式環境存取模型運算的入口。
Zenity 的 honeypot(誘捕式偵測環境)觀察到,有攻擊者把自主 agent(可自行規劃並呼叫工具的 AI 程式)和 LLM client(呼叫大語言模型的用戶端)直接指向暴露在外的 Ollama、LiteLLM 模型後端。這不一定需要惡意程式或主機入侵;只要模型服務連得到、沒有驗證,或只靠測試用的預設 API key 保護,就足以讓它變成攻擊者不用付錢的推理資源。
/api/generate 或 /api/chat 端點,常見開在 11434 連接埠;也找到 LiteLLM 開在 4000 連接埠上的 /v1/responses proxy(代理服務,負責轉接模型請求)。sk-1234 這種測試用的預設 API key,只要連得上服務的人,就能消耗組織的 token 和運算資源。sk-1234、空白 key、無驗證 proxy 模式,都應該視為正式環境的阻擋項目。這起事件的重點,不是每一台暴露後端都已經被完整入侵。更精準的教訓是:模型服務能力本身,已經是攻擊者想借用的基礎設施。只要 LLM 後端少了強身分驗證、預算控管、請求紀錄和私有網路邊界,它就可能變成別人的 AI 運算層(替攻擊者跑模型推理的資源)。