Uma infraestrutura de honeypots monitorada por GreyNoise registrou mais de 91 mil sessões de ataque contra implantações de modelos de linguagem (LLMs) entre outubro de 2025 e janeiro de 2026. O padrão revela varreduras sistemáticas e duas campanhas distintas focadas em enumeração e SSRF.
Escopo e cronologia
O conjunto de dados divulgado indica 91.403 sessões capturadas pela infraestrutura Ollama da GreyNoise no período citado. As atividades compreendem duas campanhas principais: uma de exploração por SSRF e outra de enumeração em larga escala para criar listas de alvos.
Vetor e táticas observadas
A primeira campanha explorou vulnerabilidades de Server‑Side Request Forgery (SSRF) para forçar servidores a realizar conexões de saída a infraestrutura controlada por atacantes. Entre os vetores apontados estão injeções na funcionalidade de "model pull" do Ollama, manipulação do parâmetro MediaUrl em webhooks Twilio e exploração de proxies mal configurados.
Fingerprinting e automação
- Uma assinatura JA4H apareceu em 99% das requisições, indicando uso de um mesmo conjunto de automações (provavelmente baseado em Nuclei);
- 62 IPs fontes em 27 países foram observados, mas a consistência de fingerprints sugere infraestrutura VPS centralizada;
- picos notáveis: 1.688 sessões em 48 horas no período de Natal.
Alvos e formatos testados
Os probes testaram compatibilidade com formatos OpenAI e Google Gemini e varreram modelos comerciais e open source: OpenAI GPT‑4o, Anthropic Claude, Meta Llama 3.x, DeepSeek‑R1, Google Gemini, Mistral, Alibaba Qwen e xAI Grok. A enumeração era deliberadamente não‑intrusiva — queries como “hi” e “How many states are there in the United States?” foram usadas, possivelmente para fingerprinting sem acionar proteções.
Evidências operacionais e infraestrutura maliciosa
Os pesquisadores apontam dois IPs com atividade massiva durante a fase de enumeração (45.88.186.70 e 204.76.203.125), responsáveis por dezenas de milhares de sessões. Ambos os AS possuem histórico de exploração de CVEs e alto volume de sensores correlacionados.
Indicadores de rede citados
JA4H: po11nn060000... Domínios: *.oast.live, *.oast.me, *.oast.online, *.oast.pro, *.oast.fun, *.oast.site, *.oast.today IPs: 45.88.186.70, 204.76.203.125, 134.122.136.119, 134.122.136.96, 112.134.208.214, 146.70.124.188, 146.70.124.165
Avaliação e recomendações
GreyNoise avalia que as atividades podem representar operações de “grey‑hat” ou caçadores de bug bounty em escala, mas o volume e a sistematicidade tornam preocupante a possibilidade de posterior exploração. Os pesquisadores recomendam:
- Restringir conexões de saída de servidores LLM apenas a destinos aprovados e minimizar permissões de rede para processos de model pull;
- Bloquear indicadores de rede fornecidos em controles de perímetro e EDR, e monitorar callbacks indicando SSRF bem‑sucedido;
- Validar configurações de webhooks (ex.: Twilio) para evitar uso de parâmetros que desencadeiem fetchs arbitrários;
- Aplicar taxa‑limiting e desafios/assinaturas para endpoints que aceitam URLs externas para evitar confirmação automática via OAST.
Limitações e pontos abertos
As fontes documentam atividade em honeypots e inferem intenção a partir de fingerprints e padrões de rede; não há, nas referências, confirmação pública de campanhas de comprometimento em produção ou de exfiltração posterior a esses probes. Ainda assim, a escala de enumeração sugere que implantações expostas já fazem parte de listas de alvos.
Implicações para equipes de segurança
Operações que hospedam modelos (self‑hosted ou em VPCs) precisam tratar o modelo pull e quaisquer mecanismos que busquem artefatos externos como possíveis vetores de SSRF. Isolar componentes, limitar e monitorar conexões de saída e implementar detecções para padrões JA4H/ OAST mitiga risco imediato.
Fonte: GreyNoise (relatório Ollama) e análise publicada por Cyber Security News.