Eerste grootschalige LLMjacking genereert tienduizenden aanvallen

woensdag, 28 januari 2026 (15:09) - Techzine

In dit artikel:

Tussen december 2025 en januari 2026 noteerden securityonderzoekers een snelle toename van aanvallen op blootgestelde AI-infrastructuur: honeypots registreerden ongeveer 35.000 sessies, gemiddeld ~972 aanvallen per dag. Het onderzoek van het Pillar Security Research Team benoemt deze grootschalige operatie als “Operation Bizarre Bazaar” — de eerste publiek beschreven, systematische campagne die op grote schaal LLM- en MCP-endpoints zoekt, valideert en commercieel exploiteert.

De aanvalsketen bestaat uit drie schakels: een scanner-netwerk dat onbeschermde AI-endpoints opspoort (met behulp van zoekdiensten zoals Shodan en Censys), een validatielaag die API-toegang test en bevestigt, en een commerciële marktplaats (opererend onder de naam silver.inc) die toegangspakketten doorverkoopt. silver.inc biedt tegen korting ongeautoriseerde toegang tot meer dan 30 LLM-providers en verkoopt via Discord en Telegram, betalingen verlopen via cryptocurrency en PayPal. Onderzoek wijst naar een beheerder met aliassen zoals “Hecker”/Sakuya/LiveGamer101; er is infrastructuuroverlap en gedeelde DNS/DMARC-kenmerken met onder meer nexeonai.com en gebruik van bulletproof-hosting in Nederland.

Veel gebruikte misconfiguraties maken systemen makkelijk te misbruiken: Ollama-instances zonder authenticatie (poort 11434), OpenAI-compatibele API’s op poort 8000 publiek toegankelijk, MCP-servers zonder toegangscontrole en productie-chatbots zonder authenticatie of rate limiting. Exploitatie volgt vaak binnen uren nadat een endpoint zichtbaar wordt in scans.

Naast compute-diefstal (ongeautoriseerd gebruik van modelcapaciteit) ligt het grootste gevaar bij MCP-servers: ze verbinden LLMs met interne bronnen en kunnen dienen als springplank voor laterale beweging. Een blootgestelde MCP-endpoint kan toegang geven tot bestanden, broncode, databases, credentials en zelfs shells, wat leidt tot datadiefstal, backdoors en brede compromittering. Pillar signaleert bovendien een aparte MCP-gerichte campagne die eind januari verantwoordelijk was voor ongeveer 60% van het verkeer.

Aanbevelingen: sluit ongeauthentiseerde endpoints, implementeer sterke authenticatie en rate limiting, beperk toegang met netwerkallowlists/VPN, monitor voor ongebruikelijke API-activiteit en scan actief op blootgestelde services. Volg richtlijnen zoals de OWASP Top 10 voor LLMs en overweeg gespecialiseerde AI-beveiligingsoplossingen die recent door leveranciers worden aangeboden.

Lees het volledige artikel