LLMjacking: Taktiken und best practice zur Verteidigung

26. März 2025
| Keine Kommentare
LLMjacking: Taktiken und best practice zur Verteidigung
Anzeige

Beitrag teilen

Seit der Entdeckung von LLMjacking im Mai 2024 hat es sich ebenso weiterentwickelt, wie die großen Sprachmodelle (LLMs) selbst. Angreifer entwickeln ständig neue Motive und Methoden, mit denen sie LLMjacking durchführen – einschließlich der raschen Ausweitung auf neue LLMs wie DeepSeek.

Wie das Sysdig Threat Research Team (TRT) bereits im September berichtete, nimmt die Häufigkeit und Popularität von LLMjacking-Angriffen zu. Angesichts dieses Trends waren wir nicht überrascht, dass DeepSeek innerhalb weniger Tage nach seiner Medienpräsenz und dem darauffolgenden Anstieg der Nutzung ins Visier genommen wurde. LLMjacking-Angriffe haben auch in der Öffentlichkeit große Aufmerksamkeit erregt, unter anderem durch eine Klage von Microsoft gegen Cyberkriminelle, die Anmeldeinformationen gestohlen und diese für den Missbrauch ihrer generativen KI-Dienste (GenAI) verwendet hatten. In der Klage wurde behauptet, dass die Beklagten DALL-E verwendet hätten, um anstößige Inhalte zu generieren. In unserem LLMjacking Update vom September haben wir Beispiele genannt, wie Angreifer Bilder auf harmlose Weise generieren.Ge

Anzeige
Tabelle der geschätzten Kosten durch LLM-Missbrauch (Quelle: Sysdig 2025)

🔎Tabelle der geschätzten Kosten durch LLM-Missbrauch (Quelle: Sysdig 2025)

Die Kosten für die Cloud-basierte Nutzung von LLM können enorm sein und mehrere hunderttausend Dollar pro Monat übersteigen. Sysdig TRT fand mehr als ein Dutzend Proxyserver, die gestohlene Anmeldedaten für viele verschiedene Dienste verwendeten, darunter OpenAI, AWS und Azure. Die hohen Kosten von LLMs sind der Grund, warum Cyberkriminelle lieber Anmeldedaten stehlen, als für LLM-Dienste zu bezahlen. Ein Bild, das Text, Screenshot, Schrift, Zahl enthält. KI-generierte Inhalte können fehlerhaft sein.

LLMjackers nehmen DeepSeek schnell an

Die Angreifer implementieren die neuesten Modelle rasch nach ihrer Veröffentlichung. Beispielsweise veröffentlichte DeepSeek am 26. Dezember 2024 sein fortgeschrittenes Modell DeepSeek-V3, und einige Tage später war es bereits in einer ORP(oai-reverse-proxy)-Instanz implementiert, die auf HuggingFace gehostet wurde:

Anzeige

Jetzt Newsletter abonnieren

Einmal im Monat die besten News von B2B CYBER SECURITY lesen



Mit Klick auf „Anmelden“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden. Weitere Informationen finde ich in unserer Datenschutzerklärung. Nach dem Anmelden erhalten Sie zuerst eine Bestätigungsmail, damit keine anderen Personen Ihnen etwas ungewolltes bestellen können.
Aufklappen für Details zu Ihrer Einwilligung
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung. Sie können jederzeit den Newsletter wieder abbestellen. Einen entsprechenden Link finden Sie im Newsletter. Nach einer Abmeldung werden Ihre Daten in kürzester Zeit gelöscht. Eine Wiederherstellung ist nicht möglich. Falls Sie den Newsletter erneut haben möchten, ordern sie diesen einfach neu. Verfahren Sie auch so, wenn Sie eine andere E-Mail-Adresse für Ihren Newsletter nutzen möchten. Wenn Sie den auf der Website angebotenen Newsletter beziehen möchten, benötigen wir von Ihnen eine E-Mail-Adresse sowie Informationen, welche uns die Überprüfung gestatten, dass Sie der Inhaber der angegebenen E-Mail-Adresse und mit dem Empfang des Newsletters einverstanden sind. Weitere Daten werden nicht bzw. nur auf freiwilliger Basis erhoben. Für die Abwicklung der Newsletter nutzen wir Newsletterdiensteanbieter, die nachfolgend beschrieben werden.

CleverReach

Diese Website nutzt CleverReach für den Versand von Newslettern. Anbieter ist die CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Deutschland (nachfolgend „CleverReach“). CleverReach ist ein Dienst, mit dem der Newsletterversand organisiert und analysiert werden kann. Die von Ihnen zwecks Newsletterbezug eingegebenen Daten (z. B. E-Mail-Adresse) werden auf den Servern von CleverReach in Deutschland bzw. Irland gespeichert. Unsere mit CleverReach versandten Newsletter ermöglichen uns die Analyse des Verhaltens der Newsletterempfänger. Hierbei kann u. a. analysiert werden, wie viele Empfänger die Newsletternachricht geöffnet haben und wie oft welcher Link im Newsletter angeklickt wurde. Mit Hilfe des sogenannten Conversion-Trackings kann außerdem analysiert werden, ob nach Anklicken des Links im Newsletter eine vorab definierte Aktion (z. B. Kauf eines Produkts auf dieser Website) erfolgt ist. Weitere Informationen zur Datenanalyse durch CleverReach-Newsletter erhalten Sie unter: https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. Die Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen, indem Sie den Newsletter abbestellen. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt. Wenn Sie keine Analyse durch CleverReach wollen, müssen Sie den Newsletter abbestellen. Hierfür stellen wir in jeder Newsletternachricht einen entsprechenden Link zur Verfügung. Die von Ihnen zum Zwecke des Newsletter-Bezugs bei uns hinterlegten Daten werden von uns bis zu Ihrer Austragung aus dem Newsletter bei uns bzw. dem Newsletterdiensteanbieter gespeichert und nach der Abbestellung des Newsletters aus der Newsletterverteilerliste gelöscht. Daten, die zu anderen Zwecken bei uns gespeichert wurden, bleiben hiervon unberührt. Nach Ihrer Austragung aus der Newsletterverteilerliste wird Ihre E-Mail-Adresse bei uns bzw. dem Newsletterdiensteanbieter ggf. in einer Blacklist gespeichert, sofern dies zur Verhinderung künftiger Mailings erforderlich ist. Die Daten aus der Blacklist werden nur für diesen Zweck verwendet und nicht mit anderen Daten zusammengeführt. Dies dient sowohl Ihrem Interesse als auch unserem Interesse an der Einhaltung der gesetzlichen Vorgaben beim Versand von Newslettern (berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO). Die Speicherung in der Blacklist ist zeitlich nicht befristet. Sie können der Speicherung widersprechen, sofern Ihre Interessen unser berechtigtes Interesse überwiegen. Näheres entnehmen Sie den Datenschutzbestimmungen von CleverReach unter: https://www.cleverreach.com/de/datenschutz/.

Auftragsverarbeitung

Wir haben einen Vertrag über Auftragsverarbeitung (AVV) zur Nutzung des oben genannten Dienstes geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.

Diese Instanz basiert auf einem Fork des ORP, wo sie den Commit mit der Implementierung von DeepSeek hochgeladen haben. Einige Wochen später, am 20. Januar 2025, veröffentlichte DeepSeek ein Reasoning-Modell namens DeepSeek-R1, und am nächsten Tag implementierte es der Autor dieses Fork-Repositorys.

Es wurde nicht nur Unterstützung für neue Modelle wie DeepSeek implementiert. Wir haben festgestellt, dass mehrere ORPs mit DeepSeek-API-Schlüsseln ausgestattet wurden und dass die Benutzer beginnen, diese zu verwenden.

Taktiken, Techniken und Verfahren des LLMjacking

LLMjacking ist nicht mehr nur eine mögliche Modeerscheinung oder ein Trend. Es haben sich Communities gebildet, in denen Tools und Techniken ausgetauscht werden. ORPs werden aufgeteilt und speziell für LLMjacking-Operationen angepasst. Cloud-Zugangsdaten werden vor dem Verkauf auf LLM-Zugriff getestet. LLMjacking-Operationen beginnen, eine einzigartige Reihe von TTPs zu etablieren, von denen wir im Folgenden einige identifiziert haben.

Communities

Es gibt viele aktive Communities, die LLMs für nicht jugendfrei Inhalte nutzen und KI-Charaktere für Rollenspiele erstellen. Diese Nutzer bevorzugen die Kommunikation über 4chan und Discord. Sie teilen den Zugang zu LLMs über ORPs, sowohl private als auch öffentliche. Während 4chan-Threads regelmäßig archiviert werden, sind Zusammenfassungen von Tools und Diensten häufig auf der Website Rentry.co im Pastbin-Stil verfügbar, die eine beliebte Wahl für den Austausch von Links und zugehörigen Zugangsinformationen ist. Auf Rentry gehostete Websites können Markdown verwenden, benutzerdefinierte URLs bereitstellen und nach der Veröffentlichung bearbeitet werden.

Bei der Untersuchung von LLMjacking-Angriffen in unseren Cloud-Honeypot-Umgebungen entdeckten wir mehrere TryCloudflare-Domains in den LLM-Eingabeaufforderungsprotokollen, bei denen der Angreifer den LLM zur Generierung eines Python-Skripts verwendete, das mit ORPs interagierte. Dies führte zu einer Rückverfolgung zu Servern, die TryCloudFlare-Tunnel verwendeten.

Diebstahl von Anmeldedaten

Angreifer stehlen Anmeldedaten über Schwachstellen in Diensten wie Laravel und verwenden dann die folgenden Skripte als Überprüfungswerkzeuge, um festzustellen, ob die Anmeldedaten für den Zugriff auf ML-Dienste geeignet sind. Sobald Zugriff auf ein System erlangt und Anmeldedaten gefunden wurden, führen Angreifer ihre Überprüfungsskripte auf den gesammelten Daten aus. Eine weitere beliebte Quelle für Anmeldedaten sind Softwarepakete in öffentlichen Repositories, die diese Daten preisgeben können.

Alle Skripte haben einige gemeinsame Eigenschaften: Gleichzeitigkeit, um bei einer großen Anzahl von (gestohlenen) Schlüsseln effizienter zu sein, und Automatisierung.

Best Practices zur Erkennung und Bekämpfung von LLMjacking

LLMjacking wird hauptsächlich durch die Kompromittierung von Anmeldeinformationen oder Zugangsschlüsseln durchgeführt. LLMjacking ist so weit verbreitet, dass MITRE LLMjacking in sein Attack Framework aufgenommen hat, um das Bewusstsein für diese Bedrohung zu schärfen und Verteidigern dabei zu helfen, diesen Angriff zu erfassen.

Die Verteidigung gegen die Kompromittierung von KI-Dienstkonten umfasst in erster Linie die Sicherung von Zugangsschlüsseln, die Implementierung eines starken Identitätsmanagements, die Überwachung auf Bedrohungen und die Gewährleistung eines Zugangs mit den geringsten Privilegien. Im Folgenden sind einige bewährte Verfahren zum Schutz vor der Kompromittierung von Konten aufgeführt:

Zugangsschlüssel sichern

Zugangsschlüssel sind ein wichtiger Angriffsvektor und sollten daher sorgfältig verwaltet werden.

  • Vermeiden Sie die feste Kodierung von Anmeldeinformationen: Betten Sie API-Schlüssel, Zugriffsschlüssel oder Anmeldedaten nicht in Quellcode, Konfigurationsdateien oder öffentliche Repositories (z.B. GitHub, Bitbucket) ein. Verwenden Sie stattdessen Umgebungsvariablen oder Tools zur Verwaltung von Secrets wie AWS Secrets Manager, Azure Key Vault oder HashiCorp Vault.
  • Temporäre Anmeldedaten verwenden: Verwenden Sie temporäre Sicherheitsanmeldeinformationen anstelle von dauerhaften Zugriffsschlüsseln. Zum Beispiel AWS STS AssumeRole, Azure Managed Identities und Google Cloud IAM Workload Identity.
  • Rotieren Sie AccessKeys: Wechseln Sie Zugriffsschlüssel regelmäßig, um die Anfälligkeit zu reduzieren. Automatisieren Sie den Rotationsprozess, wo immer dies möglich ist.
  • Überwachen Sie exponierte Anmeldedaten: Verwenden Sie automatisierte Scans, um ungeschützte Anmeldedaten zu identifizieren. Beispiele für Tools sind AWS IAM Access Analyzer, GitHub Secret Scanning und TruffleHog.
  • Überwachen Sie das Verhalten von Konten: Wenn ein Kontoschlüssel kompromittiert wird, weicht er in der Regel vom normalen Verhalten ab und beginnt, verdächtige Aktionen auszuführen. Überwachen Sie Ihre Cloud- und KI-Dienstekonten kontinuierlich mit Tools wie Sysdig Secure.

Schlussfolgerung

Da die Nachfrage nach Zugang zu fortgeschrittenen LLMs gestiegen ist, sind LLMjacking-Angriffe immer beliebter geworden. Aufgrund der hohen Kosten hat sich ein Schwarzmarkt für den Zugang zu OAI Reverse Proxies entwickelt, und es sind Untergrund-Dienstleister entstanden, um die Bedürfnisse der Verbraucher zu befriedigen. LLMjacking-Proxy-Betreiber haben den Zugang zu Anmeldedaten erweitert, ihre Angebote angepasst und begonnen, neue Modelle wie DeepSeek zu integrieren.

Inzwischen sind legitime Nutzer zu einem Hauptziel geworden. Da die unbefugte Nutzung von Konten zu Verlusten in Höhe von Hunderttausenden von Dollar für die Opfer führt, ist die ordnungsgemäße Verwaltung dieser Konten und der damit verbundenen API-Schlüssel von entscheidender Bedeutung geworden.

LLMjacking-Angriffe entwickeln sich weiter, ebenso wie die Motive, die sie antreiben. Letztendlich werden Angreifer weiterhin versuchen, Zugang zu LLMs zu erhalten und neue böswillige Verwendungen für sie zu finden. Es liegt an den Benutzern und Organisationen, sich darauf vorzubereiten, sie zu erkennen und sich gegen sie zu verteidigen.

Mehr bei Sysdig.com

 

Über Sysdig

In der Cloud zählt jede Sekunde. Angriffe bewegen sich mit Warp-Geschwindigkeit, und Sicherheitsteams müssen das Unternehmen schützen, ohne es zu verlangsamen. Sysdig stoppt Cloud-Angriffe in Echtzeit, indem es Änderungen des Risikos mit Runtime-Insights und Open Source Falco sofort erkennt.

 

Passende Artikel zum Thema

Mensch vs. Maschine: Wettlauf um die Vorherrschaft in der Cybersicherheit

Die Vorteile von KI in der Cybersicherheit liegen auf der Hand: KI ist rund um die Uhr verfügbar, verarbeitet selbst ➡ Weiterlesen

Software-Lieferkette für den Cyber Resilience Act absichern

In den vergangenen Jahren mussten sich IT-Sicherheitsverantwortliche und ihre Teams zunehmend mit Cyberrisiken auseinandersetzen, die mit den Software-Lieferketten ihrer Anbieter ➡ Weiterlesen

Angreifer setzen verstärkt auf Datenexfiltration

Cyberkriminelle passen ihre Methoden an, um die mittlerweile stärkeren Sicherheitsmaßnahmen der Verteidiger zu umgehen, so die Ergebnisse eines aktuellen Threat ➡ Weiterlesen

DeepSeek: Kriminelle verbreiten damit Malware

Experten zufolge, schafft die rapide Verbreitung generativer KI-Anwendungen neue Möglichkeiten für Cyberkriminelle. Auch der neue AI Chatbot DeepSeek ist schon ➡ Weiterlesen

Cyberattacken: Gefahr für die Lieferkette

Mit dem stetigen Voranschreiten der digitalen Transformation in den letzten Jahren wurden Unternehmen zunehmend abhängig von zahlreichen Partnern und Lieferanten. ➡ Weiterlesen

IT-Sicherheit: In die richtigen Maßnahmen investieren

Deutsche Unternehmen investieren in IT-Sicherheit, wie eine aktuell veröffentlichte Studie zeigt. Die Frage ist nur, ob sie dabei auch korrekt ➡ Weiterlesen

Cyberattacke: MDR senkt extrem den Versicherungsschaden  

Eine Sophos-Untersuchung von 282 Schadensfällen zeigt: Der Wert der Cyberversicherungsansprüche von Unternehmen, die MDR-Dienste nutzen, ist im Durchschnitt 97,5 Prozent ➡ Weiterlesen

Ransomware-Trends: Cybercrime-Szene im Umbruch

Ransomware: Große Akteure wie LockBit und ALPHV/BlackCat sind scheinbar passé, doch in entstehende Lücken drängen neue, noch nicht etablierte Gruppen. ➡ Weiterlesen

 

 

Storys
, , , , , ,