{"id":30696,"date":"2026-05-27T13:51:08","date_gmt":"2026-05-27T11:51:08","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=30696"},"modified":"2026-05-27T14:42:39","modified_gmt":"2026-05-27T12:42:39","slug":"llmjacking-2026-private-ai-server-security","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/llmjacking-2026-private-ai-server-security\/30696\/","title":{"rendered":"Predatori di LLM e come respingerli"},"content":{"rendered":"<p>La sicurezza dell\u2019IA non \u00e8 limitata solo a prevenire furti di dati, bloccare <a href=\"https:\/\/www.kaspersky.it\/blog\/moltbot-enterprise-risk-management\/30495\/\" target=\"_blank\" rel=\"noopener\">agenti IA non autorizzati<\/a> o impedire agli assistenti IA di fornire consigli dannosi. Una nuova minaccia, relativamente semplice ma in rapida crescita, \u00e8 all\u2019orizzonte in forma di tentativi di dirottare e sfruttare potenza di calcolo e reti neurali altrui per guadagno personale. Questa tecnica \u00e8 nota come dirottamento di LLM o LLMjacking. Con la previsione ampiamente diffusa del <a href=\"https:\/\/oplexa.com\/ai-inference-cost-crisis-2026\/\" target=\"_blank\" rel=\"noopener nofollow\">drammatico aumento<\/a> dei costi di elaborazione dell\u2019IA, il numero di aggressori \u00e8 destinato a crescere. Di conseguenza, \u00e8 fondamentale stabilire rigorose misure di sicurezza sin dal primo giorno di distribuzione di server IA proprietari e dei relativi ecosistemi di supporto come <a href=\"https:\/\/it.wikipedia.org\/wiki\/Retrieval_augmented_generation\" target=\"_blank\" rel=\"noopener nofollow\">RAG<\/a> o <a href=\"https:\/\/it.wikipedia.org\/wiki\/Model_Context_Protocol\" target=\"_blank\" rel=\"noopener nofollow\">MCP<\/a>.<\/p>\n<h2>Statistiche da un honeypot<\/h2>\n<p>La velocit\u00e0 e la portata di questi tentativi di dirottamento sono illustrate al meglio in un <a href=\"https:\/\/web.archive.org\/web\/20260412230759\/https:\/www.reddit.com\/r\/ollama\/comments\/1sff7i0\/30_days_of_an_llm_honeypot\/?solution=64b4494d52a1506664b4494d52a15066&amp;js_challenge=1&amp;token=bbbe4bf1c9a2b5160829c4be34da586161e5e506c5ef56a1c8acb5184e8d115f\" target=\"_blank\" rel=\"noopener nofollow\">esperimento<\/a> documentato in dettaglio nell\u2019aprile 2026. Un Raspberry Pi \u00e8 stato mascherato da server IA privato ad alte prestazioni ed \u00e8 stato reso accessibile da Internet. Sottoposto a query, segnalava la disponibilit\u00e0 di server Ollama, LM Studio, AutoGPT, LangServe e text-gen-webui, tutti strumenti comunemente usati come wrapper per modelli di IA ospitati localmente. Il server appariva inoltre pronto ad accettare richieste API nel formato OpenAI, ormai diventato lo standard del settore.<\/p>\n<p>Tutti questi servizi apparivano alimentati da un\u2019istanza locale di Qwen3-Coder 30B Heretic, uno dei modelli open source pi\u00f9 potenti, ma senza il relativo allineamento di sicurezza. Poi, per dare pi\u00f9 pepe all\u2019operazione, l\u2019honeypot segnalava la presenza di vari database RAG e di un server MCP dotato di allettanti funzionalit\u00e0 come <em>get_credentials<\/em>.<\/p>\n<p>In realt\u00e0, il Raspberry Pi ospitava semplicemente 500 risposte presalvate da un vero modello Qwen3, con un breve script che selezionava la risposta pi\u00f9 pertinente per ogni query in entrata. Questa configurazione \u00e8 stata sufficiente a superare un controllo superficiale e consentire al ricercatore di sondare le intenzioni degli aggressori.<\/p>\n<p>Stando all\u2019autore dell\u2019esperimento, Shodan (il popolare servizio di scansione Internet) ha scoperto il server entro tre ore dalla sua messa in funzione. Solo un\u2019ora dopo sono iniziate a piovere richieste d\u2019aspetto simile a funzioni di ricognizione. Nel mese successivo il server ha gestito pi\u00f9 di 113.000 richieste da migliaia di IP univoci, con il 23% di tale traffico mirato specificamente all\u2019individuazione delle funzionalit\u00e0 dell\u2019IA e allo sfruttamento di LLM e agenti IA locali.<\/p>\n<p>Le richieste a endpoint come <em>\/api\/tags<\/em> e <em>\/v1\/models<\/em> consentono a utenti malintenzionati di rilevare le impronte digitali dei modelli ospitati in un server, mentre la scansione alla ricerca di <em>\/.cursor\/rules<\/em> in genere precede il tentativo di sfruttamento di un agente IA. Analogamente, il controllo di <em>\/.well-known\/mcp.json<\/em> funge da inventario dei server MCP della vittima. Sebbene l\u2019autore non faccia menzione del numero totale di attacchi proceduti oltre la semplice scansione, sono stati contati 175 tentativi attivi di dirottare l\u2019LLM durante l\u2019ultima settimana dell\u2019esperimento.<\/p>\n<h2>Di cosa vanno in cerca gli attaccanti?<\/h2>\n<p>In base alle osservazioni del ricercatore, nessuno di coloro che hanno preso di mira il server-esca ha tentato di eseguire codice arbitrario o di ottenere l\u2019accesso come root (il che, aggiungiamo noi, \u00e8 sorprendente e potrebbe indicare lacune nei dati di registrazione). Quasi tutti gli attacchi erano volti a sottrarre risorse. Ad esempio, a esperimento in corso sono state registrate le seguenti attivit\u00e0:<\/p>\n<ul>\n<li>Un tentativo ben strutturato di analizzare la documentazione tecnica di un microprocessore<\/li>\n<li>Un prompt per la scrittura di un romanzo erotico<\/li>\n<li>Richieste di analizzare e strutturare dati di testo da social media relativi a nuove vulnerabilit\u00e0<\/li>\n<li>Tentativo di chiamare modelli Anthropic usando il server compromesso come proxy API<\/li>\n<\/ul>\n<p>Vale la pena notare che la ricognizione delle risorse IA usa strumenti standardizzati e in rapida evoluzione. Le richieste provenienti da un\u2019applicazione denominata LLM-Scanner provenivano dall\u2019infrastruttura di sette diversi provider cloud in otto paesi, suggerendo che gli aggressori stettero mettendo in atto metodologie consolidate e piattaforme specializzate in tecniche di condivisione. Entro la terza settimana dell\u2019esperimento lo scanner \u00e8 stato aggiornato con un controllo aggiuntivo: ora usava semplici domande astratte per verificare di stare interagendo con l\u2019IA e non con un honeypot che restituisse risposte predefinite.<\/p>\n<p>Tra gli attacchi non specifici, l\u2019esperimento ha registrato numerosi tentativi di esfiltrazione delle credenziali dal file <em>.env<\/em>.\u00a0 Questo file \u00e8 stato sistematicamente cercato in ogni possibile directory del server. Lasciare un file <em>.env<\/em> accessibile pubblicamente \u00e8 uno degli errori pi\u00f9 elementari nella distribuzione di progetti in Laravel, <em>Node.js<\/em> e altri framework, ma rimane una svista comune, soprattutto tra principianti e programmatori vibe. Di conseguenza, gli aggressori hanno tutte le ragioni di aspettarsi che i loro sforzi vengano ripagati.<\/p>\n<h2>Conclusioni e consigli per difendersi<\/h2>\n<p>La scansione dei server accessibili al pubblico e il tentativo di sfruttarli non \u00e8 una novit\u00e0, ma l\u2019ascesa degli LLM offre agli aggressori un nuovo modo di monetizzare i propri sforzi, altamente redditizio per loro e devastante per le vittime. Per capire quanto potrebbero diventare massicci questi attacchi, dobbiamo guardare la loro controparte pi\u00f9 prossima: il mercato del cryptojacking, dove i criminali estraggono criptovalute usando risorse di calcolo rubate. Quel mercato <a href=\"https:\/\/www.economist.com\/science-and-technology\/2026\/04\/22\/crypto-miners-are-quietly-colonising-computers\" target=\"_blank\" rel=\"noopener nofollow\">\u00e8 cresciuto del 20% nel solo 2025<\/a>. Con il proliferare di soluzioni basate sull\u2019intelligenza artificiale, l\u2019aumento dei costi di abbonamento da parte dei principali provider e la scarsit\u00e0 di chip dedicati, dovremmo aspettarci che il dirottamento di LLM diventi un fenomeno su scala industriale.<\/p>\n<p>Misure difensive per infrastrutture IA private<\/p>\n<ul>\n<li>Per i sistemi di IA in esecuzione localmente su un singolo computer, assicurartevi che server come LM Studio, Ollama o simili siano configurati per accettare connessioni solo nell\u2019interfaccia locale (localhost), anzich\u00e9 in tutte le interfacce di rete disponibili. Cos\u00ec facendo limiterete l\u2019accesso da parte dell\u2019LLM al computer host stesso e impedirete che l\u2019IA sia raggiungibile tramite Internet.<\/li>\n<li>Per i server che gestiscono le richieste remote, anche se il server opera solo all\u2019interno di una rete aziendale locale, implementate <a href=\"https:\/\/www.kaspersky.com\/blog\/how-to-benefit-from-identity-security\/48399\/\" target=\"_blank\" rel=\"noopener nofollow\">un\u2019autenticazione e un\u2019autorizzazione solide<\/a> anzich\u00e9 fare affidamento esclusivamente sulla convalida della chiave API. Le soluzioni basate su OIDC o OAuth2 con token di breve durata sono le pi\u00f9 efficaci. Ci\u00f2 non solo protegge dal dirottamento di LLM, ma consente anche un tracciamento pi\u00f9 granulare delle attivit\u00e0 dell\u2019utente e previene abusi delle chiavi API. Inoltre, le chiavi devono essere protette da pi\u00f9 che semplici utenti malintenzionati esterni; un rischio crescente \u00e8 infatti l\u2019<a href=\"https:\/\/www.theregister.com\/2026\/04\/27\/cursoropus_agent_snuffs_out_pocketos\/\" target=\"_blank\" rel=\"noopener nofollow\">uso improprio delle chiavi da parte degli stessi agenti di IA<\/a>. Questo vale per le interfacce LLM, ma anche per MCP, RAG e altro.<\/li>\n<li>Usate la segmentazione della rete e liste di IP consentiti per concedere al server IA solo l\u2019accesso ai reparti, ai dipendenti e ai servizi che lo richiedono.<\/li>\n<li>Verificate che tutte le connessioni client-server siano protette con una versione corrente di TLS.<\/li>\n<li>Applicate il <a href=\"https:\/\/www.kaspersky.com\/blog\/what-is-the-principle-of-least-privilege\/50232\/\" target=\"_blank\" rel=\"noopener nofollow\">principio del privilegio minimo<\/a> separando l\u2019accesso a servizi specifici; ad esempio, i componenti MCP e LLM dovrebbero disporre di propri token di accesso distinti.<\/li>\n<li>Assicuratevi che sia installato un <a href=\"https:\/\/www.kaspersky.it\/enterprise-security\/endpoint-detection-response-edr?icid=it_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">agente di protezione EDR<\/a> in tutte le workstation e i server, inclusi quelli che ospitano modelli AI.<\/li>\n<li>Monitorate il consumo delle risorse IA, stabilite quote d\u2019uso per i diversi ruoli dei dipendenti e impostate avvisi per picchi di attivit\u00e0 anomali.<\/li>\n<li>Gestite registri dettagliati delle risposte LLM e delle richieste rivolte al modello e ai relativi strumenti di supporto. Integrate queste fonti con <a href=\"https:\/\/www.kaspersky.it\/enterprise-security\/managed-detection-and-response?icid=it_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">il vostro SIEM<\/a>. Verificate la resilienza dei log da manomissioni o eliminazioni.<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"mdr\" value=\"29770\">\n","protected":false},"excerpt":{"rendered":"<p>I tentativi di dirottare le risorse IA hanno raggiunto una scala industriale. In che modo l&#8217;infrastruttura IA viene presa di mira e quali misure difensive \u00e8 necessario implementare?<\/p>\n","protected":false},"author":2722,"featured_media":30697,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641],"tags":[3936,1516,3892,3724,2926,45],"class_list":{"0":"post-30696","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-a","9":"tag-ai","10":"tag-llm","11":"tag-machine-learning","12":"tag-server","13":"tag-sicurezza"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/llmjacking-2026-private-ai-server-security\/30696\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/llmjacking-2026-private-ai-server-security\/30714\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/llmjacking-2026-private-ai-server-security\/25767\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/llmjacking-2026-private-ai-server-security\/30564\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/llmjacking-2026-private-ai-server-security\/32133\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/llmjacking-2026-private-ai-server-security\/41840\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/llmjacking-2026-private-ai-server-security\/55768\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/llmjacking-2026-private-ai-server-security\/25008\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/llmjacking-2026-private-ai-server-security\/33508\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/llmjacking-2026-private-ai-server-security\/30650\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/llmjacking-2026-private-ai-server-security\/36224\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/llmjacking-2026-private-ai-server-security\/36116\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/ai\/","name":"AI"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/30696","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=30696"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/30696\/revisions"}],"predecessor-version":[{"id":30700,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/30696\/revisions\/30700"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/30697"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=30696"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=30696"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=30696"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}