安全研究人员发现，在2025年10月至2026年1月期间，针对人工智能基础设施的攻击会话超过91,000次，揭露了针对大型语言模型部署的系统性攻击活动。

在此期间，GreyNoise的Ollama蜜罐基础设施捕获了91,403次攻击会话，揭示了两场不同的威胁活动。这些发现证实并扩展了Defused之前关于AI系统攻击的研究。

第一场活动利用了服务器端请求伪造漏洞，迫使服务器向攻击者控制的基础设施发起出站连接。 攻击者通过注入恶意的注册表URL并操纵Twilio短信Webhook的MediaUrl参数，针对Ollama的模型拉取功能进行攻击。

该活动从2025年10月持续到2026年1月，在圣诞节期间达到高峰，仅在48小时内就记录了1,688次会话。 攻击者使用ProjectDiscovery的OAST基础设施，通过回调验证来确认攻击成功。

指纹分析显示，99%的攻击中存在单一的JA4H签名，这表明攻击使用了共享的自动化工具，很可能基于Nuclei。 尽管观测到的攻击来自27个国家的62个源IP地址，但一致的指纹特征表明攻击者使用的是基于VPS的基础设施，而非僵尸网络。 GreyNoise评估认为，这很可能是漏洞赏金猎人的灰帽操作，但其规模和时机引发了伦理担忧。

枚举活动：构建目标列表 从2025年12月28日开始，两个IP地址对超过73个LLM模型端点进行了有方法的探测，在11天内生成了80,469次会话。 这种系统性的侦察旨在寻找可能暴露商业API访问权限的错误配置代理服务器。 攻击测试涵盖了所有主要模型系列的OpenAI兼容格式和Google Gemini格式，包括：OpenAI GPT-4o、Anthropic Claude、Meta Llama 3.x、DeepSeek-R1、Google Gemini、Mistral、Alibaba Qwen和xAI Grok。 测试查询故意保持无害，“hi”出现了32,716次，“美国有多少个州？”出现了27,778次，其目的可能是在不触发安全警报的情况下对模型进行指纹识别。

基础设施指向专业威胁行为者：

• 45.88.186.70 (AS210558, 1337 Services GmbH)：49,955次会话
• 204.76.203.125 (AS51396, Pfcloud UG)：30,514次会话 这两个IP地址都有广泛的CVE漏洞利用历史，在超过200个漏洞中合计有超过400万次传感器命中记录，包括CVE-2025-55182和CVE-2023-1389。

建议阻止以下网络威胁指标：

• JA4H: po11nn060000…
• 域名: *.oast.live, *.oast.me, *.oast.online, *.oast.pro, *.oast.fun, *.oast.site, *.oast.today
• IP地址: 45.88.186.70, 204.76.203.125, 134.122.136.119, 134.122.136.96, 112.134.208.214, 146.70.124.188, 146.70.124.165

安全建议： 仅允许Ollama向已批准的地址发起出站连接。阻止所有其他出站流量，以防止攻击者将其用于SSRF回调。 八万次枚举请求意味着巨大的投入。威胁行为者不会在没有利用计划的情况下以这种规模绘制基础设施图谱。 如果您正在运行暴露的LLM端点，那么您很可能已经上了某些人的目标名单。