Mobile-Menu

Cyberkriminalität bei KI-Diensten nimmt zu LLMjacking-Angriffe treffen neues KI-Modell DeepSeek

Von Berk Kutsal 3 min Lesedauer

Anbieter zum Thema

SysDig, Inc.
Fsas Technologies GmbH
Board Deutschland GmbH
INFOMOTION GmbH

Seit der Entdeckung von LLMjacking im Mai 2024 durch das Sysdig Threat Research Team haben sich die Angriffe auf große Sprachmodelle rasant ausgeweitet. Das neueste Ziel: DeepSeek. Die Cyberkriminellen stehlen Anmeldedaten, um kostenintensive KI-Dienste unbefugt zu nutzen, was zu massiven finanziellen Schäden führt.

Sysdig beobachtet Motive und Methoden, mit denen Angreifer LLMjacking durchführen – einschließlich der raschen Ausweitung auf neue LLMs wie DeepSeek.(Bild: Arthur Kattowitz - stock.adobe.com)
Sysdig beobachtet Motive und Methoden, mit denen Angreifer LLMjacking durchführen – einschließlich der raschen Ausweitung auf neue LLMs wie DeepSeek.
(Bild: Arthur Kattowitz - stock.adobe.com)

Das Sysdig Threat Research Team (TRT) hat im Mai 2024 erstmals das Phänomen des sogenannten LLMjacking identifiziert. Dabei handelt es sich um eine spezifische Form des Credential-Diebstahls, bei der Angreifer Anmeldedaten für große Sprachmodelle (Large Language Models, LLMs) wie OpenAI, AWS und Azure entwenden. Die Angreifer nutzen diese Zugangsdaten, um kostenintensive KI-Dienste unbefugt zu verwenden. Die Betriebskosten für cloudbasierte LLMs können mehrere Hunderttausend US-Dollar pro Monat betragen, was den Anreiz für Cyberkriminelle erhöht, diese Dienste illegal zu kapern.

Provider Service Theoretical Max Monthly Cost Adjusted Monthly Cost Estimate (High-Tier Cap)
OpenAI GPT-4 $583,200 $200,000 (Enterprise Tier 5 Limit)
AWS Bedrock (Claude or Titan) $233,280 $233,280 (No enforced default limit)
Azure GPT-4 via Azure OpenAI Service $583,200 $200,000 (Enterprise Spending Cap)
Google Cloud Vertex AI (PaLM 2) $388,800 $250,000 (Estimated Enterprise Limit)
IBM Watson Language Translator / NLU $12,960,000 $250,000 (Estimated Enterprise Limit)
Alibaba Cloud Tongyi Qianwen LLM $291,600 $200,000 (Estimated Enterprise Limit)
DeepSeek DeepSeek-R1 $7,101.08 $7,101.08 (No known spending limit)

Abbildung: Tabelle der geschätzten Kosten durch LLM-Missbrauch (Quelle: Sysdig 2025).

DeepSeek als neues Ziel von LLMjackern

Nachdem die Häufigkeit von LLMjacking-Angriffen seit September 2024 stetig zugenommen hat, ist nun auch das KI-Modell DeepSeek ins Visier der Angreifer geraten. Nur wenige Tage nach der Veröffentlichung des fortgeschrittenen Modells DeepSeek-V3 am 26. Dezember 2024 wurde es in einer ORP-Instanz (oai-reverse-proxy) auf HuggingFace implementiert. Bereits am 20. Januar 2025 folgte das Reasoning-Modell DeepSeek-R1, das nur einen Tag nach seiner Veröffentlichung von denselben Angreifern integriert wurde.

Diese Geschwindigkeit verdeutlicht, wie schnell Cyberkriminelle auf neue Technologien reagieren. Die Angreifer passten bestehende Proxy-Server an und statteten sie mit DeepSeek-API-Schlüsseln aus, die von kompromittierten Accounts stammten. Dadurch erhielten sie Zugriff auf die neuesten KI-Funktionen, ohne für die Nutzung bezahlen zu müssen.

Techniken und Communities hinter den Angriffen

LLMjacking ist längst kein Randphänomen mehr. Laut Sysdig haben sich spezialisierte Communities auf Plattformen wie 4chan und Discord gebildet, die Tools und Techniken austauschen, um LLMs für illegale Zwecke zu nutzen. Diese reichen von der Generierung nicht jugendfreier Inhalte bis hin zu betrügerischen Rollenspielen mit KI-Charakteren.

Ein weiteres Schlüsselinstrument der Angreifer sind ORPs, die gezielt für LLMjacking-Operationen angepasst werden. Diese Proxies agieren als Mittelsmänner zwischen den Nutzern und den KI-Diensten, wodurch die Angreifer den Datenverkehr kontrollieren und den Zugriff auf die gestohlenen Ressourcen organisieren können. Die Verbreitung der Zugangsdaten erfolgt oft über Rentry.co, eine Plattform im Pastebin-Stil, die Zusammenfassungen von Tools und Diensten bereitstellt.

Die Angreifer nutzen Schwachstellen in Webanwendungen wie Laravel, um Anmeldedaten zu stehlen. Nach dem Diebstahl werden automatisierte Überprüfungsskripte eingesetzt, um die Funktionalität der erbeuteten Zugangsdaten für KI-Dienste zu testen. Diese Skripte sind so konzipiert, dass sie gleichzeitig mehrere Anfragen verarbeiten können, um die Effizienz bei der Nutzung von gestohlenen Schlüsseln zu maximieren.

Schutzmaßnahmen gegen LLMjacking

Die Bedrohung durch LLMjacking sei so ernst, dass MITRE diese Angriffsform in sein Attack Framework aufgenommen hat. Die Sicherung von Zugangsschlüsseln und Anmeldedaten steht dabei im Mittelpunkt der Verteidigungsstrategien. Experten empfehlen, API-Schlüssel nicht fest im Quellcode zu verankern, sondern stattdessen Umgebungsvariablen oder spezialisierte Secret-Management-Tools wie AWS Secrets Manager oder Azure Key Vault zu verwenden.

Weitere empfohlene Maßnahmen sind die regelmäßige Rotation von Zugriffsschlüsseln, der Einsatz temporärer Anmeldedaten und die kontinuierliche Überwachung von Kontoaktivitäten. Automatisierte Scans, wie sie von Tools wie GitHub Secret Scanning oder TruffleHog angeboten werden, können helfen, exponierte Anmeldedaten frühzeitig zu erkennen.

Die rasante Entwicklung von LLMjacking zeigt, dass die Sicherung von KI-Diensten eine zentrale Herausforderung für Unternehmen bleibt. Angesichts der hohen finanziellen Risiken ist ein proaktiver Ansatz zur Verwaltung von Zugangsdaten unerlässlich.

(ID:50318422)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Big Data, Analytics & AI

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Weiterführende Inhalte