Открытый LLM-эндпоинт давно стал халявным вычислителем для любого желающего. Но майские наблюдения ханипотов в DE/US/RU показали: атакующие пошли дальше. Теперь ваш инференс — не просто дармовой compute, а плацдарм для SSRF-атак на облачные метаданные.
🔹 Ollama и llama.cpp без авторизации — открытый прокси для GPU: нагрузка растёт, счёт за облако — ваш.
🔹 Новая волна: через эндпоинт идут SSRF-запросы к 169.254.169.254 — кража временных токенов AWS/GCP/Azure.
🔹 Охота автоматизирована: сканеры проверяют диапазоны IP за минуты, боты подменяют prompt injection.
🔹 Цель — не просто погонять модель, а получить доступ к S3, базам данных и управлению инфраструктурой.
Вывод: если ваш LLM-сервер смотрит в интернет без HTTP Basic Auth или ключа API — вы уже спонсируете чужой пентест. Вешать закрученный nginx спереди — не паранойя, а гигиена.
