Skip to content
RiverCore
AI-шлюзи стають новою поверхнею атаки в хмарі
AI gateway securityLiteLLMAWS Bedrockcompromised AI proxy cryptomining attackAI gateway IAM role exposure

AI-шлюзи стають новою поверхнею атаки в хмарі

11 лип 20267 хв. читанняMarina Koval

Питання, яке кожен керівник платформи з генеративним AI-стеком повинен поставити своєму VP of Engineering цього тижня, — не чи доречний LiteLLM у продакшені, а хто є власником IAM-ролі, прикріпленої до нього, і хто затвердив його мережеву доступність. Один зламаний проксі-екземпляр може спалити хмарні витрати на чиємусь Monero-гаманці і, що гірше, надати зловмисникам точку входу до Bedrock. Це вже не проблема дослідницької лабораторії — це проблема архітектурного огляду третього кварталу.

Розкриття інформації Darktrace про захоплений AWS EC2-екземпляр, що працював на LiteLLM, — це невеликий інцидент із надзвичайно важливим повідомленням: шар-прокладка, який команди поспіхом запустили в продакшен між своїми застосунками та фундаментними моделями, тепер є повноцінною поверхнею атаки. Більшість CISO не заклали на це бюджет. Більшість платформних команд не можуть відповісти, хто застосовує до нього патчі.

Ключові деталі

12 червня 2026 року, як повідомляло CyberSecurityNews, Darktrace виявив активну активність криптомайнінгу, що походила з AWS EC2-екземпляра під назвою "LiteLLM-Proxy". Хост функціонував як AI-шлюз, підключений до Amazon Bedrock через IAM-роль, розташований саме там, де зазвичай знаходяться AI-шлюзи: між користувачами, бізнес-застосунками та великими мовними моделями — він здійснював автентифікацію, маршрутизацію моделей, журналювання, управління політиками та доступ до фундаментних моделей.

Початковий вектор доступу був банальним. SSH був відкритий на екземплярі та приймав вхідний трафік з будь-якої IP-адреси. Darktrace зафіксував великий обсяг короткочасних спроб SSH-з'єднань, включаючи трафік з 145.241.123[.]102. Дослідники не змогли підтвердити успішний вхід, але відкритий сервіс і патерн брутфорсу зробили SSH найімовірнішою точкою входу.

Поведінка після компрометації відповідала стандартному сценарію криптоджекінгу. Екземпляр завантажив корисне навантаження через незашифрований HTTP з 185.62.1[.]8 — ZIP-архів, що містив XMRig, широко використовуваний опенсорсний майнер Monero. Після цього він встановив повторювані HTTPS-сесії з pool.hasvault[.]pro — відомим пулом криптомайнінгу. Загортання трафіку пулу в TLS на стандартних портах робило потоки непомітними окремо, однак призначення та інтенсивність з'єднань спрацювали в поведінковому виявленні. Активність чітко відповідає MITRE ATT&CK T1496 — захоплення ресурсів.

Наступного дня, 13 червня, IAM-користувач того ж облікового запису пройшов автентифікацію через AWS CLI з IP-адреси у В'єтнамі, яку Darktrace позначив як незвичайну для цього облікового запису. Сесія намагалася викликати GetSendQuota, ListFoundationModels, InvokeModel та CreateUser. Виклики Bedrock (ListFoundationModels, InvokeModel) завершились невдачею. Darktrace не зміг остаточно пов'язати активність IAM із зламаним шлюзом, але послідовність виявлення моделей, спроб виклику та CreateUser-запиту з ознаками закріплення — саме те, чого й очікуєш від зловмисника, що зондує, що можна розблокувати за допомогою вкрадених облікових даних AI-шлюзу.

Чому це важливо для команд безпеки

Криптомайнінг — це шум, а не сигнал. Сигнал — це те, до чого може дістатися IAM-роль AI-шлюзу.

Подумайте про профіль довіри цих компонентів. AI-шлюз зберігає довготривалі хмарні облікові дані з дозволами на виклик фундаментних моделей, читання промптів і відповідей у транзиті, передачу контексту з внутрішніх застосунків і часто запис журналів до S3 або CloudWatch. Його компрометація коштує вам не лише обчислювальних циклів. Вона потенційно розкриває кожен промпт, який ваші продуктові команди надсилають до Bedrock (що для регульованого фінтеку, iGaming або healthtech означає персональні дані, дані сесій і бізнес-логіку), кожну відповідь, що повертається, і IAM-поверхню, прив'язану до ролі. Зловмисник, який спробував InvokeModel, це розумів. Він прийшов не за Monero — він прийшов за доступом до моделі. Майнінг був монетизацією початкового рівня, поки вони з'ясовували потенційний виграш.

Це змінює економіку інциденту. Один середній EC2-екземпляр із XMRig може обійтися в кілька сотень доларів на місяць витраченого даремно бюджету. Витік шляху виклику Bedrock, або, що гірше, викрадений корпус промптів із даними клієнтів — це вже розмова з GC і CFO. Саме тут я б тиснув на кожного керівника безпеки: припиніть оцінювати ці інциденти за рахунком за майнінг і починайте оцінювати їх за радіусом ураження IAM-ролі, прикріпленої до машини.

Тактичні провали непримітні. SSH, відкритий до 0.0.0.0/0 у 2026 році на компоненті, що забезпечує доступ до фундаментних моделей — це збій конфігурації, який не пройшов би належного огляду платформи. Довготривалі облікові дані в IAM-ролі з більшими дозволами Bedrock, ніж реально потрібно навантаженню — це збій принципу найменших привілеїв. Завантаження корисних навантажень через HTTP з довільної IP-адреси — це збій контролю вихідного трафіку. Кожен з них окремо — переживний. В сукупності на компоненті, що маршрутизує ваш AI-трафік — це анонс наступної хвилі звітів про хмарні зломи.

Вплив на галузь

Дискусія "будувати чи купувати" щодо AI-шлюзів тепер є розмовою про безпеку, а не лише про затримку та вартість. Протягом останніх вісімнадцяти місяців інженерні команди у фінтеку та iGaming зверталися до LiteLLM, опенсорсних проксі та власних шарів маршрутизації, оскільки комерційні пропозиції AI-шлюзів від хмарних провайдерів і стартапів або не існували, або коштували надто дорого за токен, або не мали потрібного покриття моделей. Тоді це було раціонально. На наступному аудиті це виглядатиме менш раціонально.

Тут важлива організаційна структура. Хто відповідає за AI-шлюз у вашій компанії? У більшості фінтек-компаній серії B, які я бачу, відповідь — "команда ML-платформи" або "той штатний інженер, який його запустив". Ця команда — не та сама команда, яка загартовує ваш продакшен-Kubernetes, моніторить вихідний трафік або переглядає IAM-політики. Вони оптимізують швидкість розробки та покриття моделей. Стан безпеки — другорядне завдання. Коли шлюз стає єдиною точкою концентрації AI-трафіку, ця прогалина у відповідальності стає вектором атаки.

Регульовані вертикалі відчувають це гостріше. Оператор iGaming, що використовує Bedrock для підсумовування звернень до підтримки гравців, передає через цей шлюз промпти з ідентифікуючими даними клієнтів. Фінтек, що виконує аугментацію KYC, надсилає витяги з документів. Якщо шлюз скомпрометований і IAM-роль дозволяє запис журналів до спільного бакету, канал ексфільтрації формується сам собою. Регулятори у Великій Британії, Мальті та ЄС не приймуть відповідь "ми вважали, що LiteLLM — просто маршрутизатор" під час перевірки за Section 166 або DORA.

Вплив на ринок найму також реальний. Інженери з хмарної безпеки, які розуміються як на IAM, так і на патернах AI-навантажень — вузький кадровий пул. Очікуйте, що компенсація за цей конкретний гібридний набір навичок різко зросте в другій половині 2026 року, коли надходитиме все більше таких розкриттів.

На що звертати увагу

Три сигнали для відстеження протягом наступних 90 днів. По-перше, чи AWS та інші гіперскейлери випустять власні продукти AI-шлюзів із загартованими налаштуваннями за замовчуванням, або подвоять зусилля щодо функцій у Bedrock IAM для обмеження того, що може зробити зламаний проксі (обмежені політики виклику, ARN ресурсів для окремих моделей, підписання запитів на рівні SDK). По-друге, чи відреагує екосистема опенсорсних AI-шлюзів (LiteLLM та його аналоги) виходами, орієнтованими на безпеку, шаблонами розгортання з чіткими рекомендаціями та референтними IAM-політиками. По-третє, чи побачимо ми перше підтверджене розкриття, де компрометація AI-шлюзу призводить до ексфільтрації даних промптів або відповідей, а не лише до криптомайнінгу. Третє — це ще не сталося, і коли це станеться, це змінить те, як ради директорів думають про витрати на генеративний AI.

Керівник платформи будь-якої компанії, що має AI-шлюз у продакшені, повинен запитати свого керівника безпеки цього тижня: яка саме IAM-політика прикріплена до цього проксі, який список дозволених вихідних з'єднань на екземплярі та коли востаннє ротувалися довготривалі ключі, що зберігаються в його оточенні. Якщо на ці три питання немає відповідей того ж дня — у вас є власний LiteLLM-Proxy, що чекає, щоб його знайшли.

Ключові висновки

  • Шар AI-шлюзу (LiteLLM, кастомні проксі, маршрутизатори моделей) тепер є окремою поверхнею атаки з хмарними обліковими даними, що коштують більше, ніж обчислення, на яких він працює.
  • Випадок Darktrace розпочався з SSH, відкритого до інтернету, і завершився спробами виклику Bedrock InvokeModel з в'єтнамської IP-адреси: криптомайнінг — це приманка, доступ до моделі — головний приз.
  • IAM з найменшими привілеями для ролі шлюзу — єдиний найефективніший контроль. Обмежте дозволи Bedrock конкретними ARN моделей і повністю видаліть дозволи, суміжні з CreateUser.
  • Неоднозначність відповідальності між командами ML-платформи та хмарної безпеки — саме там живуть ці зломи. Виправте організаційну структуру, перш ніж виправляти конфігурацію.
  • Регульовані оператори фінтеку та iGaming повинні вважати промпти та відповіді, що проходять через AI-шлюз, даними в межах їхнього режиму відповідності та відповідно проектувати контроль вихідного трафіку.

Часті запитання

П: Що таке AI-шлюз і чому він є проблемою безпеки?

AI-шлюз — це проміжний шар, що знаходиться між застосунками та фундаментними моделями, здійснюючи автентифікацію, маршрутизацію, журналювання та управління політиками. Зазвичай він зберігає хмарні облікові дані з дозволами на виклик моделей, зокрема в Amazon Bedrock, що означає: його компрометація може розкрити промпти, відповіді та пов'язані хмарні ресурси, а не лише один сервер.

П: Як зловмисники зламали EC2-екземпляр LiteLLM-Proxy?

На екземплярі SSH був відкритий для будь-якої вхідної IP-адреси, і Darktrace зафіксував великий обсяг короткочасних спроб SSH-з'єднань, включаючи трафік з 145.241.123[.]102. Успішний вхід підтверджено не було, однак після компрометації хост завантажив XMRig з 185.62.1[.]8 через HTTP і підключився до майнінгового пулу pool.hasvault[.]pro через HTTPS.

П: Що повинні робити платформні команди для захисту своїх AI-шлюзів?

Обмежте доступ SSH та інший адміністративний доступ, уникайте довготривалих ключів доступу, застосовуйте IAM-політики з найменшими привілеями, прив'язані до конкретних ARN моделей Bedrock, моніторте журнали шлюзу та відстежуйте незвичайний вихідний трафік. Ставтеся до шлюзу як до критичного хмарного навантаження з такою ж ретельністю, як до продакшен-баз даних або платіжних сервісів.

MK
Marina Koval
RiverCore Analyst · Dublin, Ireland
ПОДІЛИТИСЯ
// СХОЖІ СТАТТІ
ГоловнаРішенняПроєктиПро насКонтакт
Новини06
Дублін, Ірландія · ЄСGMT+1
LinkedIn
🇺🇦UK