資安研究人員發現,複雜的「LLM 劫持」攻擊已成功取得 DeepSeek 模型的未經授權存取權限,這類攻擊通常在模型公開發布後數週內即告發生。
LLM 劫持與代理伺服器劫持(proxyjacking)和加密貨幣挖礦劫持(cryptojacking)等資源盜用手法相似,都是非法利用他人的運算資源。
攻擊者透過盜用 API 金鑰,得以免費使用原本需付費的大型語言模型(如 OpenAI、Anthropic 等)來生成圖像、繞過地區限制,並讓受害者承擔費用。
研究人員發現了一系列針對 DeepSeek 模型的 LLM 劫持攻擊。DeepSeek-V3 模型在 2023 年 12 月 26 日發布後僅數天即遭入侵,而 DeepSeek-R1 更在 2024 年 1 月 20 日發布隔天就遭受攻擊。這顯示 LLM 劫持已從去年五月首次發現時的偶發事件,演變為一種更加精密的持續性威脅。
深入解析 LLM 劫持攻擊手法
大規模使用 LLM 需要支付高額費用。根據海外資安研究公司估算,若全天候使用 GPT-4,每月費用將超過 50 萬美元,儘管 DeepSeek 目前的收費較為便宜。
攻擊者為了免費使用這些模型,會竊取雲端服務帳號的憑證或特定 LLM 應用程式的 API 金鑰,並以腳本驗證這些憑證能否成功存取目標模型。隨後,攻擊者將竊取的驗證資訊整合至「OAI 反向代理伺服器」(ORP)中。ORP 在使用者與 LLM 之間建立橋樑,提供操作安全層。
ORP 的原始版本於 2023 年 4 月 11 日發布後,經過多次分支演進並強化隱匿功能。新版本除了加入密碼保護和混淆機制(例如:使用者必須啟用瀏覽器 CSS 才能正常檢視內容),還移除了提示詞紀錄功能以掩蓋使用痕跡。代理伺服器更透過 Cloudflare 隧道產生隨機臨時域名,以隱藏 ORP 實際的虛擬私人伺服器(VPS)或 IP 位址。
目前 ORP相關 的
4chan 和
Discord 社群快速擴張,使用者利用非法取得的 LLM 存取權限來產生不當內容、圖片、惡意腳本,或用於學校作業。
在俄羅斯、伊朗和中國等地區,一般民眾也藉此繞過對 ChatGPT 的地區限制。
LLM 劫持對帳戶持有人的影響
最終,所有產生不當內容和學生作業的運算費用都必須由受害者承擔。
ORP 開發者為了避免引起警報,會謹慎控制每個帳戶的使用金額。他們的程式能同時整合數十至上百組不同帳戶的憑證。根據海外資安公司的紀錄,
單一 ORP 就掌握了 55 組 DeepSeek 的 API 金鑰,更不用說其他 AI 應用程式的憑證。透過控制大量不同應用程式的金鑰,ORP 得以進行負載平衡,有效分散非法使用的蹤跡。
然而,這種策略並非萬無一失。資安研究員分享了一個 X 用戶的親身經歷:他的個人 AWS 帳戶遭到 LLM 劫持。這位用戶某天早晨醒來時,發現原本每月僅需 2 美元的 AWS 帳單(主要用於電子郵件服務),竟在短短 2–3 小時內暴增至 730 美元。雖然無人知曉攻擊者如何竊取他的 AWS 憑證,但帳單金額迅速攀升至超過 2 萬美元。所幸他啟用了 AWS 的費用警示功能(此功能預設為關閉),才得以及時發現異常狀況。
即使他立刻聯繫 AWS 客服並關閉帳戶,由於費用計算的延遲,最後半天的使用量仍產生了約 1–2 萬美元的費用。所幸 AWS 最終同意承擔這筆費用。
專家更提醒,這個案例顯示若類似攻擊鎖定企業組織,其損害程度恐將更為嚴重。
延伸閱讀: Palo Alto Networks:DeepSeek存在明顯越獄漏洞,可輕易生成有害內容
本文轉載自 DarkReading。