一款恶意攻击活动正针对暴露在外的大语言模型服务端点展开精准攻击，通过非法获取 AI 基础设施的未授权访问权限实现商业化牟利。 

研究人员在 40 天的监测中，于蜜罐系统上记录到超 3.5 万次攻击会话，由此发现这起大规模网络犯罪活动——攻击者通过利用暴露或认证机制存在缺陷的 AI 服务端点，将非法访问权限变现并实施一系列恶意操作。 

研究人员将该攻击活动命名为 Bizarre Bazaar，并指出这是首起可明确归因于特定威胁组织的 " 大模型劫持 "（LLMjacking）攻击案例。

研究人员称攻击者通过获取防护薄弱的大模型基础设施端点未授权访问权限，主要实施以下恶意行为：

1. 窃取计算资源用于虚拟货币挖矿；

2. 在暗网市场转售 API 访问权限；

3. 窃取提示词与对话记录中的数据；

4. 试图通过模型上下文协议（MCP）服务器横向渗透至内部系统。 

该攻击活动的常见攻击载体包括：自部署的大模型环境、暴露在外或未做认证的 AI 接口、公网可访问的 MCP 服务器，以及分配了公网 IP 的 AI 开发 / 测试环境。 

攻击者通常利用各类配置漏洞发起攻击，例如 11434 端口上未做认证的 Ollama 服务端点、8000 端口上兼容 OpenAI 协议的未认证接口，以及未做权限校验的生产环境聊天机器人。 

研究人员指出，一旦存在配置漏洞的服务端点出现在 Shodan、Censys 等网络空间测绘平台的扫描结果中，攻击者会在数小时内发起针对性攻击。 

这类威胁与传统的接口滥用存在本质区别，被攻陷的大模型服务端点不仅会产生高额成本——大模型推理计算的开销本就居高不下，还会导致企业敏感数据泄露，更会为攻击者提供横向渗透的可乘之机。

此前，GreyNoise 的一份报告也曾披露过类似攻击行为，彼时攻击者主要针对商用大模型服务展开信息探测。

而此次研究则发现，这起攻击活动背后形成了一条犯罪供应链，涉及三名威胁者，且三者大概率为同一犯罪团伙协同作案：

第一位通过自动化机器人对全网进行扫描，寻找大模型及 MCP 服务端点；

第二位体对扫描结果进行验证，测试目标端点的访问权限；

第三位行为体则在 Telegram、Discord 等平台运营着一个名为 silver [ . ] inc 的商业化服务平台，将非法获取的 AI 服务访问权限以虚拟货币或 PayPal 转账的方式转售牟利。 

该平台还推出了一个名为 NeXeonAI 的项目，对外宣称是 " 一体化 AI 基础设施 "，可提供 50 余款头部厂商的大模型访问权限。

Bizarre Bazaar 行动阶段

研究人员还将这起犯罪活动溯源至一名特定威胁者，该行为体曾使用 "Hecker""Sakuya""LiveGamer101" 等多个别名。 

除了聚焦大模型接口滥用的 Bizarre Bazaar，还监测到另一起独立的攻击活动，该活动专门针对 MCP 服务端点展开侦察探测。

针对 MCP 端点的攻击，能为攻击者创造更多横向渗透的机会——可通过与 Kubernetes 容器平台交互、获取云服务访问权限、执行 Shell 命令等方式进一步入侵，其背后的牟利价值远高于单纯利用计算资源挖矿的变现手段。

目前尚无证据表明这起 MCP 端点攻击活动与 Bizarre Bazaar 存在关联，但安全研究人员推测，二者或有潜在联系。