Servers in een datacenter verlichten een futuristische skyline.
Nieuws10 juli · 06:125 min leestijd

Aanvallers kapen AI-gateway met Bedrock-toegang voor cryptomining

Beveiligingsbedrijf Darktrace zag hoe een aan het internet blootgestelde AI-gateway met toegang tot Amazon Bedrock werd gekaapt en ingezet voor cryptomining. Je AI-infrastructuur is geen los tooltje, maar een geprivilegieerd doelwit.

Aanvallers hebben een aan het internet blootgestelde LiteLLM-gateway met toegang tot Amazon Bedrock gekaapt en ingezet voor cryptomining, ontdekte beveiligingsbedrijf Darktrace, nadat de server via een open SSH-poort onder een golf van inlogpogingen kwam.

Dat verschuift hoe je naar zo'n gateway moet kijken. Een AI-gateway bundelt je API-sleutels, cloud-rechten en modeltoegang tot één centraal punt, zodat een routineuze inbraak op die machine meteen op een geprivilegieerd systeem landt. Voor een Nederlands bedrijf dat generatieve AI in productie draait is de rekening dan niet je gestolen data, maar je cloudfactuur: de gekaapte server delfde Monero en trok zo je rekenkracht leeg, terwijl de aanvaller ondertussen probeerde de toegangsrechten van de gateway uit te buiten.

De aanvalsketen: van open SSH-poort naar Monero-miner

De besmette machine was een Amazon EC2-server met LiteLLM-Proxy, een populaire open-source AI-gateway, die was ingericht met toegang tot Amazon Bedrock. Het probleem zat niet in de code, maar in de blootstelling: de SSH-poort (22) stond open voor het hele internet (0.0.0.0/0) en kreeg een zware golf brute-force-pogingen te verwerken.

De exacte succesvolle inbraak bleef onbevestigd, maar het gedrag daarna was onmiskenbaar. Op 12 juni 2026 haalde de server via HTTP een bestand van 3,42 MB binnen met daarin XMRig, een bekende Monero-miner, verpakt in een zip-archief. Minuten later maakte de machine herhaaldelijk verbinding met een mining-pool over HTTPS-poort 443: de gekaapte gateway draaide een cryptominer in plaats van data te stelen.

Een dag later dook een tweede signaal op. Vanaf een IP-adres in Vietnam voerde een apart IAM-account via de AWS-commandoregel acties uit die het in maanden niet had gedaan, met mislukte pogingen om Bedrock-modellen op te sommen en aan te roepen, en zelfs een poging om een nieuw gebruikersaccount aan te maken. De aanvaller tastte dus de geprivilegieerde IAM-rol van de gateway af. Data werd niet buitgemaakt en de modeltoegang niet succesvol misbruikt; de concrete schade was gekaapte compute.

Waarom een AI-gateway een geliefd doelwit is

Een gateway is aantrekkelijk juist omdat hij zo handig is: één adres waarachter al je AI-verkeer, sleutels en cloud-rechten samenkomen. Precies dat maakt hem tot een knooppunt waar één overname veel oplevert. Het past in een patroon dat zich dit jaar telkens herhaalt, waarin elke laag van je AI-stack, van gateway tot plugin, een actief aanvalspad is geworden.

Het verschil met eerdere incidenten zit in de route. Eerder deze maand ging het om drie gekoppelde lekken in LiteLLM waarmee gewone gebruikers admin-rechten en code-uitvoering op de gateway kregen, een kwetsbaarheid in de software zelf. Hier was de software niet het gat, maar de inrichting: een instance die zonder afscherming aan het internet hing. Beide komen op hetzelfde neer, namelijk een gateway die de zwakste schakel in het netwerk werd.

Wat dit betekent voor je eigen stack

Darktrace trekt er een duidelijke les uit: behandel je AI-infrastructuur als onderdeel van je kritieke aanvalsoppervlak, niet als een losstaande applicatielaag. Concreet is dat de basishygiëne die je op de rest van je productiesystemen toepast: geen SSH open voor het hele internet, de gateway achter een reverse proxy en van het publieke net af, en actieve monitoring op de IAM-rollen en afwijkende verbruikspieken. Dat is precies de aanpak om je zelfgehoste AI-gateway van standaardinstellingen naar productie-veilig te tillen, in plaats van de demo-configuratie te laten staan.

De bredere verschuiving is dat AI-infrastructuur stilletjes productie-infrastructuur is geworden. Een gateway die je 'even snel' opzette om modellen te routeren, heeft toegang tot je cloud-budget, je sleutels en je data, en verdient daarmee dezelfde aandacht als je database of je betaalsysteem. Wie dat nog als een apart, jong hoekje van de stack behandelt, ontdekt de rekening pas als de compute al maanden voor iemand anders draait.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Je AI-infra veilig neerzetten

Een AI-gateway die crypto delft omdat een poort openstond, is geen toeval maar een inrichtingskeuze. Ik denk mee, ontwerp en bouw je AI-stack end-to-end, met toegangsrechten, isolatie en monitoring die vanaf dag één kloppen, self-hosted waar dat kan.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Verken verder

Gerelateerde artikelen

FBI waarschuwt voor supply-chain-groep TeamPCP en adviseert een minimale package-leeftijd
Nieuws
6 min

3 jul 14:10

FBI waarschuwt voor supply-chain-groep TeamPCP en adviseert een minimale package-leeftijd

De FBI bracht een officiele waarschuwing uit voor TeamPCP, die breed gebruikte ontwikkel- en beveiligingstools vergiftigde. De concrete raad: installeer een pakket pas na een minimale leeftijd van zeven dagen.

Meta bouwt eigen cloudtak om AI-rekenkracht te verkopen, aandeel schiet omhoog
Nieuws
6 min

1 jul 18:39

Meta bouwt eigen cloudtak om AI-rekenkracht te verkopen, aandeel schiet omhoog

Meta bouwt volgens een Bloomberg-scoop aan een eigen clouddienst om overtollige AI-rekenkracht te verkopen. Dat maakt het concern een concurrent van AWS, Azure en Google Cloud, en drukt op de neoclouds waar ook Nederlandse bedrijven hun compute inkopen.

Claude Sonnet 5: Anthropics meest agentic model tot nu toe, voor mid-tier prijzen
Nieuws
5 min

30 jun 21:32

Claude Sonnet 5: Anthropics meest agentic model tot nu toe, voor mid-tier prijzen

Anthropic lanceert Claude Sonnet 5: het meest autonome Sonnet-model tot nu toe, met prestaties die Opus 4.8 benaderen tegen een veel lagere prijs. Voor Nederlandse bedrijven verschuift dat de afweging tussen AI-leveranciers.

Claude nu algemeen beschikbaar in Microsoft Azure, draaiend op Nvidia's Blackwell Ultra
Nieuws
5 min

30 jun 17:17

Claude nu algemeen beschikbaar in Microsoft Azure, draaiend op Nvidia's Blackwell Ultra

Anthropics Claude-modellen zijn algemeen beschikbaar in Microsoft Foundry op Azure, voor het eerst draaiend op Nvidia GB300 Blackwell Ultra. Azure-klanten kunnen Claude nu binnen hun eigen omgeving inzetten, zonder van cloudprovider te wisselen.

Amazon kopieert intern Anthropic's Claude-modellen om hogere tokenprijzen voor te zijn
Nieuws
5 min

29 jun 22:34

Amazon kopieert intern Anthropic's Claude-modellen om hogere tokenprijzen voor te zijn

Amazon-engineers maken volgens The Information goedkopere interne kopieen van Anthropic's Claude-modellen, vlak voor een overstap naar tokenprijzen. Voor bedrijven die Claude via AWS Bedrock draaien is dat een signaal over kosten en leveranciersrisico.

OpenAI lanceert GPT-5.6 met Sol, Terra en Luna, onder toezicht van Washington
Nieuws
7

26 jun 20:41

OpenAI lanceert GPT-5.6 met Sol, Terra en Luna, onder toezicht van Washington

Nog geen dag na de aankondiging is GPT-5.6 er. OpenAI brengt drie scherp geprijsde modellen uit, Sol, Terra en Luna, met een nieuw record voor programmeerwerk en hetzelfde werk voor minder tokens, maar voorlopig alleen voor klanten die de Trump-regering per geval goedkeurt.