黑客又盯上新“薅羊毛”方式：扫代理、蹭 LLM

—— GreyNoise 最新观察背后的故事

最近安全圈有个小风声： GreyNoise 发现，有人正悄悄盯上那些配置不太严谨的代理服务器，想借机“白嫖” OpenAI、Anthropic、Gemini、DeepSeek 等付费 LLM 服务。

听起来像段子，但数据一点都不段子： 短短十几天里，攻击者已经对 73 个以上的 LLM 端点发起探测，跑出了 8 万多次会话。

这规模，绝不是路过随便点两下。

🕵️ 故事从两个“角色”说起

GreyNoise 把最近的异常流量分成了两拨人，看起来像是两个完全不同的“角色”。

① 第一拨：像是“灰帽研究员”的那种人

这群人干的事儿很“技术宅”：

• 利用 SSRF 漏洞
• 借 Ollama 的模型拉取功能注入恶意 URL
• 甚至还用上了 ProjectDiscovery 的 OAST 基础设施

怎么看都像是在做漏洞赏金、研究测试那类“灰帽操作”。

他们的目标不是破坏，而是“试试看能不能通”。

② 第二拨：真正让人警觉的那一群

从 12 月 28 日开始，GreyNoise 的蜜罐突然热闹起来。

两个 IP 地址，连续 11 天，像扫楼一样把 73 个以上的 LLM 服务挨个敲了一遍：

• OpenAI（GPT-4o）
• Anthropic（Claude）
• Meta（Llama）
• DeepSeek（R1）
• Google（Gemini）
• Mistral
• 阿里巴巴（Qwen）
• xAI（Grok）

而且他们的提示词都很“低调”： “hi”“hello”“空输入”“简单问答”—— 就是那种不会触发风控的“装路人”风格。

GreyNoise 的原话很有意思：

“八万次枚举请求本身就是一种投入。”

换句话说： 没人会花这么大力气，只为了打个招呼。

⚠️ 这事儿为什么值得关注？

因为这类扫描通常意味着：

• 攻击者在“摸底”
• 在画服务地图
• 在找可利用的代理
• 在为未来的滥用做准备

现在还没看到真正的攻击链，但这就像有人在你家门口来回走了八万次，还顺手试了试门把手。

你说要不要紧张一点。

🛡️ 给 LLM 服务部署者的“几句掏心话”

如果你们内部也在跑 LLM 服务，GreyNoise 给了几条很实用的建议：

• 模型拉取只允许可信来源
• 出口流量要严格控制
• DNS 层面屏蔽 OAST 回调域名
• 对可疑 ASN 做限速
• 监控 JA4 指纹，识别自动化扫描工具

一句话： 别让你的代理，变成别人蹭 LLM 的跳板。