LLMjacking: Wie falsch konfigurierte Proxys zur teuren KI-Falle werden
Der rasante Aufstieg der Künstlichen Intelligenz hat nicht nur die Arbeitswelt revolutioniert, sondern auch eine neue, kostspielige Schattenwirtschaft hervorgebracht, in der Rechenleistung zur wertvollen Währung geworden ist. Während Unternehmen und Privatpersonen nach Wegen suchen, die steigenden Kosten für Large Language Models wie die von OpenAI, Anthropic oder Google zu stemmen, haben Cyberkriminelle bereits eine lukrative Methode gefunden, diese Ressourcen auf Kosten Dritter zu nutzen. Das Phänomen, das Sicherheitsforscher mittlerweile als „LLMjacking“ bezeichnen, nimmt derzeit massiv zu und zielt vor allem auf eine oft übersehene Schwachstelle in der Infrastruktur ab: falsch konfigurierte Proxy-Server.
Diese Proxys werden häufig von Entwicklern oder in Open-Source-Projekten aufgesetzt, um den Zugriff auf KI-Schnittstellen zu bündeln, die Latenz zu verringern oder komplexe Anfragen effizienter zu verarbeiten. In vielen Fällen dienen sie als Brücke, um API-Schlüssel zentral zu verwalten, anstatt sie direkt in Client-Anwendungen zu hinterlegen. Das Kernproblem liegt jedoch in der mangelnden Absicherung dieser Instanzen, die oft ohne jegliche Authentifizierung oder IP-Beschränkungen direkt mit dem Internet verbunden sind. Oft geschieht dies aus Unwissenheit oder während der Entwicklungsphase, inder Sicherheitsaspekte zugunsten der Funktionalität vernachlässigt werden, was die Server zu einem leichten Ziel für automatisierte Angriffe macht.
Hacker machen sich diese Nachlässigkeit nun zunutze, indem sie das Internet mit spezialisierten, automatisierten Werkzeugen wie dem sogenannten „OAI-checker“ oder ähnlichen Skripten scannen. Diese Programme suchen gezielt nach Endpunkten, die auf API-Anfragen reagieren, ohne dafür eine eigene Verifizierung zuverlangen. Sobald eine solche Lücke identifiziert ist, fungiert der fremde Proxy als Tor zu den teuren Sprachmodellen, wobei der rechtmäßige Besitzer des API-Schlüssels für sämtliche Kosten aufkommen muss. Für die Betroffenen kann dies verheerende finanzielle Folgen haben, da Angreifer innerhalb weniger Stunden oder Tage Nutzungskosten im fünfstelligen Bereich verursachen können, während sie selbst völlig anonym bleiben.
Besonders perfide ist dabei die organisierte Struktur hinter diesen Angriffen, da die gekaperten Zugänge oft nicht nur für den Eigenbedarf genutzt werden. In Untergrundforen, über anonyme Imageboards wie 4chan oder auf spezialisierten Discord-Servern werden solche gekaperten Zugänge als billige Alternative zu offiziellen Abonnements weiterverkauft. Dort erhalten zahlende Nutzer gegen eine geringe Gebühr Zugriff auf Premium-Modelle, die eigentlich pro verarbeitetem Token abgerechnet werden. Die Angreifer nutzen dabei oft Techniken wie das sogenannte Load-Balancing, bei dem sie die Last über eine Vielzahl gekaperter Schlüssel verteilen, um unter dem Radar der automatisierten Betrugserkennung der großen KI-Anbieter zu bleiben und die Lebensdauer ihrer „Produkte“ zu maximieren.
Neben dem rein finanziellen Schaden riskieren die Opfer von LLMjacking auch die dauerhafte Sperrung ihrer offiziellen Konten, da die Angreifer die Modelle häufig für Zwecke missbrauchen, die gegen die Nutzungsbedingungen der Anbieter verstoßen. Dies umfasst beispielsweise das automatisierte Schreiben von Phishing-Mails, das Generieren von Schadcode oder das gezielte Umgehen von Sicherheitsfiltern durch Prompt-Injection, um illegale Inhalte zuerzeugen. Das Opfer, also der ursprüngliche Besitzer des Schlüssels, wird gegenüber dem Anbieter für diese Aktivitäten verantwortlich gemacht, was nicht nur den Verlust des Zugangs, sondern im schlimmsten Fall auch rechtliche Konsequenzen oder Reputationsschäden zur Folge hat.
Um sich gegen diese Form des Ressourcen-Diebstahls zu schützen, ist es für Entwickler und IT-Administratoren unerlässlich, strikte Sicherheitsregeln für alle Proxy-Instanzen anzuwenden. Dazu gehört zwingend die Implementierung von starken Authentifizierungsmechanismen, die Verwendung von VPNs oder Zero-Trust-Architekturen und die konsequente Überwachung der API-Nutzung in Echtzeit. Auch das Einrichten von Budget-Limits bei den KI-Anbietern ist eine sinnvolle Verteidigungsstrategie, um den Schaden im Falle eines Einbruchs zu begrenzen. In einer Ära, in der digitale Intelligenz ein kostbares Gut ist, wird die Absicherung dieser Schnittstellen zu einer zentralen Aufgabe, auch – auch, um nicht unfreiwillig die kriminelle Infrastruktur der Zukunft zu finanzieren.
Über die 8com GmbH&Co. KG
Das Security Operations Center von 8com schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), eXtended Detection and Response (XDR), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach.
8com gehört zu den führenden SOC-Anbietern in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
Categories: Allgemein
No Responses Yet
You must be logged in to post a comment.