网络安全公司Darktrace披露了一起特殊的云入侵事件:一台运行LiteLLM代理软件、连接Amazon Bedrock AI服务的AWS EC2实例遭黑客入侵,被用于挖掘门罗币(Monero, XMR)。这起事件虽然以加密货币挖矿告终,却暴露了一个更危险的趋势——AI网关正成为云安全的新软肋。
攻击始末:一套“经典剧本”
2026年6月12日,Darktrace的增强监控系统检测到一台名为“LiteLLM-Proxy”的AWS EC2实例出现异常活动。调查显示,该实例的22号端口(SSH)向整个公网(0.0.0.0/0)开放,Darktrace记录到大量来自IP地址145.241.123.102的短时入站连接尝试,与暴力破解行为高度吻合。
随后,该实例通过HTTP从185.62.1.8下载了一个3.42 MB的ZIP压缩包。Darktrace分析认为其中包含XMRig——一款广泛使用的门罗币挖矿软件。下载完成后仅数分钟,该实例便开始通过HTTPS(443端口)反复连接矿池域名pool.hasvault.pro,这是被入侵系统接收计算任务并回传结果的典型行为。
Darktrace的“高优先级加密货币挖矿”检测模型触发告警,其安全运营中心(SOC)将事件通报客户,该实例随后被关闭。由于缺乏主机级日志,Darktrace无法100%确认SSH是初始入侵途径,但SSH暴露、暴力破解尝试、恶意软件下载与矿池通信在时间上的紧密衔接,使其成为最合理的入侵路径。

风险核心:网关即“总开关”
挖矿本身并非该事件最严重的部分。真正值得警惕的是被入侵资产的身份——LiteLLM-Proxy充当着应用程序与Amazon Bedrock之间的AI网关,持有访问Bedrock资源的IAM角色权限,可处理认证、模型路由、提示词、日志、策略控制及云权限等核心功能。
Sectigo公司高级研究员Jason Soroko指出:“真正值得关注的是资产本身,而非挖矿程序。一个连接Amazon Bedrock的LiteLLM代理将一次普通的云入侵变成了关于AI基础设施的警告。”他强调,这类网关正成为身份、模型访问、提示词、日志和策略的集中代理点。
BeyondTrust公司CISOSean Malone则直言:“剥离AI的标签,这就是我们自2018年以来一直在观察的云入侵模式:SSH对公网开放、暴力破解、XMRig矿工、反复连接矿池。”但他也认同Darktrace的判断——AI网关将凭证、云权限和模型访问集中到一个“咽喉要道”,使一次常规入侵落在了一个高价值资产上。
延伸疑云:身份活动异动
值得关注的是,6月13日,即挖矿活动被发现后的第二天,Darktrace监测到另一个AWS IAM身份出现异常行为。该身份通过一个长期访问密钥,从越南的IP地址发起了“GetSendQuota”API调用,随后尝试枚举和调用Amazon Bedrock基础模型,并试图创建一个新的IAM用户——这是攻击者建立持久化访问的常用手法。不过Darktrace表示,没有证据证明这两起事件存在直接关联。
安全启示:AI基础设施须纳入统一防线
Darktrace在官方博客中总结道,AI基础设施不应被视为独立的技术栈——它运行在云中、持有云凭证,也以云资产一贯的方式失效。防御者需要同时监控工作负载遥测和控制平面事件,而非依赖孤立的告警。
Jason Soroko建议企业采取以下措施:
关闭公共管理路径(如公网SSH);
尽可能移除长期访问密钥;
严格限定IAM权限范围;
将模型活动监控与工作负载、控制平面事件关联分析。
这起事件再次证明:随着AI深入生产环境,AI网关正成为攻击者的新靶心——而保护它的关键,不在于追逐新概念,而在于回归云安全的基本功。
夜雨聆风