近期,網絡安全領域迎來了一次新的警示。網絡安全巨頭Sysdig發布報告,指出有不法分子利用未妥善配置的Open WebUI實例,通過先進的AI技術生成的惡意軟件,對Linux及Windows系統用戶構成了嚴重威脅。
Open WebUI,作為一個功能全面且用戶友好的自托管AI平臺,以其可擴展性和離線運行能力而著稱。它支持多種大型語言模型(LLM)運行器,并與Ollama、OpenAI等API高度兼容,內置了強大的RAG推理引擎,為用戶提供了卓越的AI部署解決方案。
然而,正是這些強大的功能,被不法分子所利用。Sysdig的研究團隊發現,攻擊者通過尋找在線暴露且缺乏身份驗證的Open WebUI系統,成功獲取了管理員權限。隨后,他們上傳了一個名為“pyklump”的Python腳本,該腳本經過高度混淆,難以被輕易識別。
值得注意的是,這個腳本在ChatGPT代碼檢測器的分析中,被判定為“極有可能(約85-90%)由AI生成或高度依賴AI輔助”。這一發現揭示了AI工具在惡意軟件開發中的新趨勢,為網絡安全領域帶來了新的挑戰。
攻擊者的行動并非一蹴而就,而是采取了多階段的策略。一旦“pyklump”腳本被執行,它便利用Discord webhook進行指揮與控制(C2)通信,巧妙地偽裝成合法網絡流量,以躲避檢測系統的追蹤。
攻擊者還使用了“processhider”工具來隱藏加密礦工等惡意進程,同時通過“argvhider”掩蓋挖礦池URL和錢包地址等關鍵信息,進一步增加了檢測和追蹤的難度。
此次事件再次提醒我們,隨著AI技術的不斷發展,網絡安全威脅也在日益復雜化。企業和個人用戶需要時刻保持警惕,加強系統配置和身份驗證措施,以防范類似攻擊的發生。
