LLMjacking neemt de laatste tijd een vlucht, constateert Sysdig. Zo werden accounts voor toegang tot de LLM’s van DeepSeek binnen enkele dagen tot uren gekaapt door kwaadwillenden die deze voor andere zaken dan bedoeld gingen inzetten.
Het grootschalig gebruik van LLM’s kan behoorlijk in de kosten lopen. Hierdoor zoeken hackers naar alternatieve mogelijkheden om geld te besparen. Het kapen van LLM-accounts van gewone eindgebruikers, LLMjacking, is daarvoor een goede optie. Dit constateren onderzoekers van Sysdig.
Door het kapen van OpenAI-, Anthropic- accounts of die van andere aanbieders kunnen de kwaadwillenden dan deze capaciteit op kosten van de oorspronkelijke account-eigenaren gebruiken voor het genereren van beelden, het omzeilen van nationale verboden op het gebruik van LLM’s en meer.
Account-eigenaren van alle AI-aanbieders krijgen met deze vorm van cybercriminaliteit te maken. Zo werden onlangs ook al betaalde (API)accounts van de zeer recente DeepSeek-V3- en DeepSeek-R1-modellen al door kwaadwillenden gekaapt en op kosten van de originele gebruikers voor andere doeleinden ingezet.
Aanvalspad voor LLMjacking
Hackers zijn voor LLMjacking actief op zoek naar inloggegevens voor LLM’s of API-keys die een link hebben met specifieke LLM-applicaties. Hebben zij deze eenmaal in handen, gebruiken zij scripts om te verifiëren dat deze inloggegevens daadwerkelijk toegang geven tot een gewenst LLM.
Vervolgens stoppen hackers de gestolen authenticatie-data in een zogenoemde ‘OAI reverse proxy (ORP)’. Een ORP vormt een soort van brug tussen een eindgebruiker en een LLM en biedt op deze manier een laag van operationele security.
Deze ORP’s zijn, sinds de introductie in 2023, steeds vaker aangepast en bieden hackers nu steeds meer bescherming tegen ontdekking. Denk aan wachtwoordbeveiliging, verbergingsmechanismes, het elimineren van prompt logging. Daarnaast zijn proxies beschermd via Cloudflare-tunnels die willekeurige en tijdelijke domeinen genereren om de virtual private server van de ORP of kwaadaardige IP-adressen te verbergen.
De kwaadaardige ORP’s worden vooral misbruikt via communicatiekanalen als 4chan en Discord. Ook gebruiken landen als Iran, Rusland en China ORP’s om toegang te krijgen tot LLM’s die anders voor deze landen zijn geblokkeerd.
Verder zijn ORP’s zodanig aangepast dat zij niet te veel kosten maken op een enkele account. Dit zou dan snel een alarm geven over misbruik. Uit het onderzoek van de specialisten van Sysdig blijkt dat sommige ORP’s daarom wel 55 verschillende DeepSeek API’s misbruikte, naast API’s van andere AI chat tools. Door zoveel keys voor verschillende apps te gebruiken, kunnen ORP’s profiteren van load balancing en op deze manier het misbruik zeer ‘dun’ verspreiden.
Groot probleem in wording
De onderzoekers geven aan dat LLMjacking een groot probleem wordt. Zeker nu grote cloudaanbieders als AWS en Azure de DeepSeek-modellen in hun Amazon Bedrock- en Azure AI Foundry-omgevingen gaan aanbieden.
De securityspecialisten roepen daarom op snel na te denken over hoe dit soort aanvallen het beste kunnen worden bestreden en vooral eindgebruikers voor dit soort aanvallen beter te beschermen.