LLMjacking: o que são esses ataques e como proteger servidores de IA

Um honeypot Raspberry Pi simulando um stack privado de IA rodando Ollama, LM Studio, AutoGPT, LangServe e servidor MCP com Qwen3-Coder 30B foi indexado pelo Shodan em três horas e recebeu mais de 113 mil requisições em um mês. Dessas, 23% sondaram endpoints de capacidade de IA como /api/tags, /v1/models, /.cursor/rules e /.well-known/mcp.json, com 175 tentativas ativas de LLM-hijacking na última semana visando roubo de compute, abuso de proxy de API contra Anthropic e extração de credenciais .env.

O tooling padronizado LLM-Scanner usado para reconhecimento foi atualizado durante o experimento para detectar honeypots de resposta automática, sinalizando maturação do ecossistema compartilhado entre atacantes LLMjacking. Defensores devem vincular servidores de modelo local ao localhost, controlar acesso remoto com tokens de curta duração OIDC/OAuth2, segmentar infraestrutura de IA com allowlists e TLS, emitir tokens separados por componente MCP/LLM/RAG, instalar EDR em hosts de IA e direcionar logs de prompt-resposta com cotas de consumo para SIEM com retenção resistente a adulteração.