安全研究团队发现，有黑产团伙开始专门窃取云上部署DeepSeek大模型的API密钥，对外以30美元/月售卖使用权限。

　　据悉，这类黑产团伙过去长期窃取OpenAI、AWS、Azure等各类大模型服务的API密钥，对外提供违规生成服务，仅此次研究期间就发现超20亿个token被滥用，给付费用户和平台造成了巨大损失。

　　DeepSeek的最新大模型V3和R1刚发布几天，黑产团队就已经实现API适配支持。目前，研究团队在某个黑产团队的系统中，已经发现了55个疑似被窃取的DeepSeek API密钥。

　　安全内参2月10日消息，DeepSeek大模型公开发布仅数周后，复杂的“大模型劫持”(LLMjacking)黑产团伙便已成功盗取访问权限。

　　大模型劫持与代理劫持、加密劫持类似，都是攻击者为自身利益非法占用他人的计算资源。利用这一攻击手法窃取的API密钥，攻击者可以使用OpenAI、Anthropic等公司提供的流行且昂贵的大模型来生成图像、绕过封禁等，而账单却转嫁给无辜的受害者。

　　最近，云安全厂商Sysdig的研究人员发现，一些活跃度极高的大模型劫持操作已整合了对DeepSeek开发模型的访问权限。去年12月26日，DeepSeek-V3模型发布，仅几天后，大模型劫持者便成功窃取访问权限。同样，DeepSeek-R1于1月20日发布，而攻击者在次日便已得手。

　　Sysdig网络安全专家Crystal Morin表示：“这已不再是短暂的趋势。与我们去年5月首次发现这种行为时相比，大模型劫持如今已发展到了全新的阶段。”

　　大规模使用大模型往往会带来高昂的成本。例如，根据Sysdig的粗略估算ip 云代理服务器，若全天候不间断使用GPT-4，账户持有人每月的开销可能会超过50万美元(尽管DeepSeek目前的成本要低得多)。

　　为了使用这些模型而不承担费用，攻击者会窃取云服务账户的凭据或特定大模型应用的API密钥。随后，他们利用脚本验证这些凭据是否具备访问目标模型的权限。

　　接下来，攻击者会将这些被盗的身份验证信息整合进“OAI”反向代理(ORP)中。ORP充当用户与大模型之间的桥梁，同时为攻击者提供一定程度的操作隐蔽性。

　　“ORP”这一术语最早可追溯至2023年4月11日，当时首个相关项目被公开发布。自那以后，该技术被多次分支和修改，新增了更多隐蔽功能。例如，最新版本的ORP已集成密码保护和混淆机制，攻击者可通过禁用浏览器CSS使网站内容不可读，或取消提示记录功能，以隐藏自身的使用痕迹。此外，这些代理还利用Cloudflare隧道技术生成随机的临时域名，以掩盖ORP实际使用的虚拟专用服务器(VPS)或IP地址。

　　在4chan和Discord等平台上，围绕ORP已形成新的社区。部分用户利用非法获取的大模型访问权限生成NSFW(不适合公开场合)内容、编写各种恶意脚本，甚至只是完成学校作业。而在俄罗斯、伊朗等国家，普通用户则通过ORP绕过ChatGPT的国家级封禁。

　　ORP的开发者并不希望账单过高，以免异常使用行为引起警觉。因此，他们通常会将计算负载分配到几十甚至上百个不同的账户凭据上。例如，Sysdig记录的某个ORP便整合了55个DeepSeekAPI密钥以及多个其他AI应用的密钥。通过持有多个不同应用的API密钥，ORP能够实现负载均衡，使非法使用尽可能分散。

　　Morin回忆道：“我曾与一位推特用户交谈过，他的个人AWS账户因大模型劫持遭到入侵。他平时的AWS月账单大约2美元(主要用于调用大模型撰写电子邮件)，但某天早晨醒来，他惊讶地发现短短两三个小时内，账单竟飙升至730美元。”

　　没人确切知道这位受害者的AWS凭据是如何被窃取的，但他在毫不知情的情况下，账单已累积至近2万美元。幸运的是，他在AWS账户中启用了成本警报(该功能默认未开启)，因此得以及时发现异常活动。

　　Morin表示：“他随即联系AWS客服询问情况，但对方一开始也无法确定问题所在。最终，他几乎是立刻关闭了自己的账户，但由于费用报告存在延迟，最终账单仍在1万至2万美元之间，这仅仅是半天的使用成本。”

　　AWS最终为这位受害者免除了账单。但Morin警告道：“只是个人账户被劫持都能产生如此高昂的费用。试想一下，如果这种攻击发生在企业级别，会造成怎样的损失？”