AI平台用户账户安全受威胁

近日，一家名为Sysdig的安全公司发布了关于”LLM劫持（LLMjacking）”攻击的报告。该报告指出，许多黑客正针对各大语言模型（LLM）平台展开攻击，试图盗取用户账户密码，并将这些模型平台的API转卖给第三方。黑客甚至从用户的对话记录中提取隐私信息进行勒索或公开出售。

在此次攻击中，Sysdig发现黑客主要针对Anthropic Claude v2 / v3平台发起攻击。他们主要利用撞库和Laravel框架中的凭据漏洞（CVE-2021-3129）进行攻击。值得注意的是，这些受攻击的平台主要服务于企业用户，因此未知受害者的每日费用可能超过4.6万美元（约合33.3万元人民币）的API使用费。

另外，之前已有安全公司揭露Hugging Face平台存在API凭据漏洞，这使得黑客能够获取微软、谷歌和Meta等公司的令牌，进而控制这些公司的模型库。目前，Hugging Face已修复了相关漏洞。

此事件再次提醒我们，保护个人信息安全的重要性不容忽视。各类平台应加强安全防护措施，确保用户数据不被泄露，以防止类似事件的再次发生。