تتزايد الهجمات على خدمات نماذج اللغة الكبيرة (LLM) بشكل ملحوظ، مما يستدعي اتخاذ تدابير أمان فعالة لحماية البيانات.
يستهدف المهاجمون خدمات نماذج اللغة الكبيرة (LLM) المكشوفة من خلال حملتين منفصلتين، حيث نفذوا معًا ما يقرب من 100,000 هجمة على الخدمات المستهدفة.
تهدف الهجمات جزئيًا إلى رسم خريطة للسطح المتزايد لنشر الذكاء الاصطناعي (AI) — حيث من المحتمل أن تنتقل الاستخدامات المؤسسية من المرحلة التجريبية إلى مرحلة الإنتاج هذا العام — كما أفاد باحثو GreyNoise.
اكتشفت GreyNoise الهجمات من خلال فخ بين أكتوبر والآن، حيث لاحظت ما مجموعه 91,403 جلسة هجوم تُنسب إلى حملتين منفصلتين، كما كشفت في منشور مدونة حديث. الحملة السابقة، التي يُحتمل أنها كانت من عمل قراصنة أخلاقيين، استغلت ثغرات في طلبات الخادم (SSRF) لإجبار الخوادم المستهدفة على إجراء اتصالات خارجية مع بنية تحتية يتحكم فيها المهاجمون.
بدت الحملة الأخرى أكثر إشكالية، وهي “التي يجب أن تثير قلق” المنظمات، كما كتب الباحث Bob Rudis في منشور المدونة. جاءت من عنوانين IP أطلقا “استطلاعًا منهجيًا لأكثر من 73 نقطة نهاية لنماذج LLM” لتحديد الخوادم الوكيلة غير المهيأة.
أنتجت الحملة 80,469 جلسة في 11 يومًا فقط، مستهدفة كل عائلة رئيسية من نماذج الذكاء الاصطناعي، بما في ذلك تنسيقات API المتوافقة مع OpenAI ونماذج الذكاء الاصطناعي المستندة إلى Google Gemini.
“تمثل ثمانين ألف طلب تعداد استثماري،” أشار Rudis. “لا يقوم المهاجمون برسم خرائط للبنية التحتية بهذا الحجم دون خطط لاستخدام تلك الخريطة. إذا كنت تدير نقاط نهاية LLM مكشوفة، فمن المحتمل أنك بالفعل على قائمة شخص ما.”
قصة حملتين سيبرانيين ضد منصات الذكاء الاصطناعي
استمرت الحملة الأولى، التي جرت من أكتوبر 2025 حتى يناير — وبلغت ذروتها “بشكل دراماتيكي” خلال عيد الميلاد مع 1,688 جلسة في 48 ساعة — باستخدام متجهين. الأول كان حقن عناوين URL ضارة في السجل لإجبار الخوادم على إجراء طلبات HTTP إلى بنية تحتية تابعة للمهاجمين، بينما الثاني قام بتعديل معلمات MediaUrl لتحفيز الاتصالات الخارجية.
حددت GreyNoise أن الحملة، التي جاءت من 62 عنوان IP موزعة عبر 27 دولة، كانت على الأرجح من عمل باحثين في الأمن أو صيادي ثغرات، حيث استخدمت بنية ProjectDiscovery’s OAST (اختبار أمان التطبيقات خارج النطاق) لتأكيد استغلال SSRF الناجح عبر التحقق من رد الاتصال — وهي علامة مميزة لمثل هذا البحث. ومع ذلك، “تشير الحجم وتوقيت عيد الميلاد إلى عمليات رمادية تدفع الحدود،” كتب Rudis.
بدأت الحملة الثانية، التي بدأت في 28 ديسمبر، تمثل تهديدًا أكثر سوءًا واستهدفت “كل عائلة رئيسية من النماذج،” كما كتب Rudis. كانت نماذج LLM المستهدفة: OpenAI (GPT-4o وما يتفرع عنه)، Anthropic (Claude Sonnet، Opus، Haiku)، Meta (Llama 3.x)، DeepSeek (DeepSeek-R1)، Google (Gemini)، Mistral، Alibaba (Qwen)، وxAI (Grok).
اختبرت الهجمة واجهات برمجة التطبيقات الخاصة بالخدمات باستفسارات “ظلت عمدًا غير مثيرة للشك بهدف التعرف على النموذج الذي يستجيب دون إثارة تنبيهات أمنية،” كتب.
استقصت GreyNoise عناوين IP التي نفذت الهجمات ووجدت اثنين سبق ملاحظتهما يستغلان العديد من الثغرات المعروفة، بما في ذلك React2Shell (CVE-2025-55182)، CVE-2023-1389، وأكثر من 200 عيب معروف آخر. “تتجاوز الملاحظات المجمعة 4 ملايين ضربة استشعار،” كتب Rudis.
الدفاع عن LLMs من لصوص البيانات
تمثل الحملتان معًا كيف يمكن للمهاجمين الاستفادة من الاستخدام المتزايد للمنظمات لنماذج الذكاء الاصطناعي العامة لرسم خريطة مستمرة للسطح المتزايد لنشر الذكاء الاصطناعي. هذه الأنشطة تدعو المنظمات إلى تبني تدابير أمان أكثر قوة حول استخدام LLMs العامة، كما قال Rudis.
لحماية النقاط النهائية ضد الحملتين بالتحديد، أدرجت GreyNoise قائمة بعناوين IP ونطاقات رد الاتصال الخاصة بـ OAST ليقوم المدافعون بحظرها.
تشمل الخطوات الأخرى التي يجب على المنظمات اتخاذها تأمين سحب النماذج باستخدام تصفية الخروج، مما يمنع ردود الاتصال SSRF من الوصول إلى بنية تحتية تابعة للمهاجمين، كما أشار Rudis. يجب على المدافعين أيضًا اكتشاف أنماط التعداد من خلال وضع تنبيه على الطلبات السريعة التي تضرب نقاط نهاية متعددة للنماذج، بالإضافة إلى مراقبة استفسارات التعرّف.
تشمل تكتيكات التخفيف الأخرى حظر OAST عند DNS لقطع قناة رد الاتصال التي تؤكد الاستغلال الناجح، وتحديد معدل ASNs المشبوهة، خاصة AS152194، AS210558، وAS51396، التي “ظهرت جميعها بشكل بارز في حركة الهجوم،” كما كتب.
أخيرًا، يمكن للمنظمات اكتشاف الأدوات والأتمتة التي تستهدف بنيتها التحتية من خلال مراقبة بصمات JA4، كما قال Rudis. JA4+ هو مجموعة من معايير بصمات الشبكة.
يجب على المنظمات أن تكون يقظة وأن تتبنى استراتيجيات أمان متقدمة لحماية خدمات LLM من التهديدات المتزايدة.
