4 个月超9.1万次攻击，AI基础设施成自动化攻击新靶标

人工智能正以前所未有的速度融入各类业务系统，但与此同时，AI基础设施也正在成为自动化攻击和安全探测的新目标。

近期，威胁情报机构GreyNoise披露，其部署的Ollama大模型蜜罐在2025年10月至2026年1月期间，共捕获91,403次攻击会话。GreyNoise指出，这些行为并非零散尝试，而是呈现出高度一致的自动化特征，并清晰分化为两条不同性质的攻击活动，显示攻击者正在系统性地绘制AI基础设施的暴露面图谱。

这并非一次偶发事件，而更像是一个信号——AI基础设施正在被正式纳入攻击者的自动化扫描体系之中。

1

从“扫描服务器”到“扫描大模型”

从蜜罐捕获的数据来看，这一轮针对AI基础设施的活动，与传统针对Web服务或云主机的扫描存在明显差异。

攻击者并非随机撞库，而是围绕AI服务自身的运行逻辑和能力特征展开针对性探测，包括：

利用模型拉取、注册表配置等机制，尝试注入恶意URL；

通过SSRF（服务端请求伪造）诱导AI服务向攻击者控制的服务器发起回连；

对外暴露的模型API端点进行低噪声枚举，判断是否存在未授权访问或错误配置。

多项技术特征显示，这些攻击疑似大量依赖Nuclei等自动化漏洞扫描与验证工具。从请求指纹、访问节奏到行为模式，均表现出高度一致性，明显并非人工逐一尝试，而是模板化、规模化运行的自动化任务。

这意味着，AI基础设施正在被当作一种“新的标准化资产类型”，被直接接入既有的攻击自动化流水线。

2

两类攻击活动：侦察先行，精准布局

捕获的攻击会话清晰分化为两类不同性质的活动，均服务于对AI基础设施的系统性侦察与布局。

第一类是SSRF验证型攻击，核心目的是诱导AI服务主动向攻击者控制的基础设施发起外部请求，验证是否存在可被利用的请求路径。攻击者主要针对两大场景：一是Ollama模型拉取功能，通过注入恶意注册表URL触发服务器外连；二是短信webhook集成场景，操纵MediaUrl参数诱导外连（与Ollama攻击高度共现）。

技术细节显示，攻击者使用ProjectDiscovery的OAST回调基础设施确认攻击效果，99%的攻击携带同一JA4H指纹，攻击IP分布于27个国家的VPS。GreyNoise评估认为，该活动大概率与安全研究或灰帽漏洞验证相关，虽非直接破坏，但规模与节假日活跃特征已超出常规测试边界。

第二类是模型端点枚举活动，被明确提示为“更值得警惕”的风险行为。2025年12月28日起，仅两个IP在11天内发起80,469次会话，对73个以上大语言模型服务端点进行系统性枚举，覆盖OpenAI、Anthropic、Meta、Google、阿里巴巴、DeepSeek等主流模型体系及多种API兼容格式。攻击者刻意使用“正常、无害”的查询内容，规避安全告警，核心目标是确认模型服务的可用性，构建可进一步利用的目标清单，尤其聚焦存在代理或访问控制缺陷的接口，为后续滥用或绕过付费模型服务打基础。

3

自动化攻击重塑AI基建风险边界

从这两类活动可以清晰看到一个不容忽视的趋势：AI基础设施攻击，正在高度“工具化”。

当自动化扫描工具的模板覆盖LLM API、模型拉取逻辑等AI特有组件后，攻击门槛被显著拉低——攻击者无需理解模型原理，只需批量扫描就能高效筛选出防护薄弱、配置失误的AI节点。

这与过去十年Web漏洞从“高手对抗”演变为“脚本化收割”的过程几乎如出一辙。

而当前，大量AI系统仍停留在“能跑起来就行”的阶段，安全设计明显滞后于业务落地速度，这为自动化攻击提供了极其现实的土壤。

4

AI安全，不只是“模型安全”

这次事件也再次暴露出一个常见误区：很多组织在谈AI安全时，关注点仍集中在模型本身，却忽视了AI作为“基础设施”的系统性风险。

事实上，AI安全至少应覆盖四个核心层面，且最终需落脚到业务安全闭环：

基础设施层安全

包括模型运行环境、容器、算力节点、网络出口、镜像与注册表来源的可信控制，这是AI系统安全的基础防线，直接决定底层环境是否可控。

服务与接口层安全

对模型API、推理接口、管理端口进行严格鉴权、访问控制和异常行为监测，防止被枚举、滥用或作为攻击内网的跳板，筑牢服务对外交互的安全屏障。

模型与数据层安全

防止模型权重、训练数据被未授权访问，防御提示词注入、数据投毒等新型攻击手法，保障AI核心资产与输入输出数据的完整性、机密性。

智能体安全

作为AI落地业务的核心载体，智能体的安全直接关联业务安全——需重点防控智能体被恶意诱导执行违规操作、越权访问业务数据、或在跨系统协同中成为攻击传导介质。这要求在智能体设计阶段就植入安全规则引擎，明确权限边界，对其决策逻辑和操作行为进行实时审计与拦截。

可见，仅仅为模型加一层“内容过滤”，既无法覆盖智能体这一关键环节的安全风险，更不能阻止攻击者通过底层系统和配置漏洞完成入侵，只有形成“基础设施-服务接口-模型数据-智能体”的全链路防护，才能最终保障AI驱动的业务安全。

在AI高速发展的现阶段，一个事实已经非常清晰：AI基础设施正在快速进入“高价值、高暴露、高自动化攻击密度”的新阶段。

未来，AI系统不再是“有没有人会攻击”的问题，而是“每天都会被扫描、被尝试利用”的默认状态。这也意味着，AI安全不能再作为事后补丁，而必须成为AI基础设施设计的前置条件。

在AI真正成为关键生产力之前，安全能力，必须先一步成为AI的底座能力。

消息来源：GreyNoise

文章来源 ：安全客