허니팟 관측: 탐색 대상이 되고 있는 AI 관련 툴·서비스

미쓰비시 전기의 야마모토입니다.

최근 AI를 이용한 개발이나, AI 관련 서비스를 외부로 공개하는 사례가 늘고 있습니다. 그 한편으로, 의도치 않게 관리용 인터페이스나 개발용 API가 공개되어 있으면, 공격자에 의한 탐색이나 설정 미비를 이용한 공격을 받을 가능성이 있습니다.

이번에는 주의 환기를 목적으로, 당사의 클라우드 상에 구축한 허니팟(Honeypot)에서 관측한, AI 툴·서비스의 공개 여부를 조사하고 있는 것으로 보이는 요청에 대해 소개합니다.

허니팟에서 관측된, AI 툴·서비스의 가동 상황이나 공개 상황을 조사하고 있는 것으로 보이는 요청을 아래에 나타냅니다.

또한, 여기서는 이용자가 많은 툴을 표적으로 하는 URI나, 관측 수가 많은 URI를 소개하지만, 이 외에도 AI 관련 툴·서비스가 표적이라고 추측되는 요청은 다수 확인되었습니다.

| 대상이라고 추측되는 툴·서비스 |

관측 URI	상정되는 탐색 내용
MLflow	/api/2.0/mlflow/registered-models/list /api/2.0/mlflow/runs/search
LiteLLM	/ui/model_hub_table/
LM Studio	/lmstudio/diagnostics /lmstudio-greeting
Flowise	/api/v1/public-chatflows
AI 에이전트 / AI 관련 플러그인	/.well-known/agent.json /.well-known/agent-ui.json /.well-known/ai-plugin.json /.well-known/mcp.json

표를 통해, AI 에이전트 관련 툴이나, AI 서비스의 구성 정보 등이 탐색 대상이 되고 있음을 알 수 있습니다.

공격자는 공개된 AI 관련 기능이나 메타 정보를 탐색하여, 인증·인가의 유무나 설정 미비, 내부 정보 취득 가능 여부 등 악용 가능한 정보를 획득할 수 있는지 확인하고 있는 것으로 생각됩니다.

표에서 나타낸 AI 관련 서비스를 공개하고 있는 서버를 탐색하려는 의도가 있다고 추측되는 요청에 대해, 표적으로 추측되는 툴·서비스를 설명합니다.

MLflow(기계 학습 모델의 관리나 실험 관리에 이용되는 MLOps 기반)의 API를 탐색하고 있는 것으로 생각됩니다.

등록된 모델 목록이나 실행 이력 검색 API가 외부에서 이용 가능한지 확인하고 있을 가능성이 있습니다.

LiteLLM(LLM으로의 액세스 등의 통합 API를 제공하는 툴)에서, AI Hub1이라고 불리는 이용 가능한 모델/에이전트를 공유하는 기능을 탐색하는 요청이라고 추측됩니다.

LM Studio(로컬 환경에서 LLM을 다루기 위한 툴)의 공개 상황을 탐색하고 있는 것으로 생각됩니다.

단, 이번에 관측된 URI는 LM Studio 공식 문서에 기재된 엔드포인트가 아닙니다.

lmstudio라는 경로명으로부터, LM Studio의 진단 화면이나 초기 응답용 경로를 확인함으로써 서비스의 가동 상황이나 공개 상태를 파악하려 하고 있을 가능성이 있습니다.

/api/v1/xx라는 경로는 웹 애플리케이션에서 널리 이용되는 경로입니다.

단, Flowise(AI 애플리케이션 구축 툴)의 /api/v1/public-chatflows 엔드포인트에는 2026/04/24에 공개된 취약점(CVE-2026-41278)이 보고되어 있습니다. 이번 요청에서는 그것과 관련된 취약점을 탐색하고 있을 가능성이 있습니다.

/.well-known/은 RFC8615로 정의된, 서버의 메타 정보나 표준 설정을 공개하기 위해 이용되는 경로입니다. 최근 AI 관련 서비스에서도 /.well-known/

하위에 AI 관련 메타 정보를 두는 사례가 관찰되고 있어, 탐색 대상이 되기 쉬울 것으로 생각됩니다. 공격자는 요청(Request)을 통해 이용 가능한 AI 에이전트(AI Agent) 관련 서비스를 탐색하고 있는 것으로 보입니다.

경로	내용	추측되는 의도
/.well-known/agent.json	AI 에이전트의 자기소개용 메타데이터	서버상의 이용 가능한 AI 에이전트 탐색
/.well-known/agent-ui.json	에이전트용 UI·이용 지원 정보 (추측 포함)	이용 가능한 AI 에이전트용 UI나 이용 지원 정보 탐색
/.well-known/ai-plugin.json	ChatGPT Plugin용 매니페스트 (Manifest)	ChatGPT Plugin으로 이용 가능한 API 탐색
/.well-known/mcp.json	MCP 서버 발견용 메타데이터	MCP로 접속 가능한 서버 탐색

이번에는 2026/03/01 00:00:00 ~ 2026/06/10 00:00:00 (JST)에 관측된 요청 상황을 소개해 드립니다.

이번에 소개해 드린 요청의 관측 상황에 대해, 툴·서비스별로 구분하여 누적 그래프를 나타냅니다.

세로축은 관측된 요청 수, 가로축은 관측일입니다.

그래프를 통해 AI 관련 툴·서비스에 대한 탐색이 단속적으로 이루어지고 있음을 알 수 있습니다.

툴·서비스별 관측 요청 수와 최초 관측일을 나타냅니다.

툴·서비스	URI	요청 수	최초 관측
MLflow	/api/2.0/mlflow/registered-models/list, /api/2.0/mlflow/runs/search	46	2026/03/10
LiteLLM	/ui/model_hub_table/	37	2026/06/05
LM Studio	/lmstudio/diagnostics,/lmstudio-greeting	34	2026/03/10
...	425	2026/03/10

3월에는 관측되지 않았던 LiteLLM이나 Flowise 관련 URI가 6월에 확인되어, 탐색 대상이 확대되고 있음을 알 수 있습니다.

송신처 조직을 조사한 결과, 3월은 주로 미국에 거점을 둔 클라우드 사업자, 6월은 주로 미국에 거점을 둔 호스팅 사업자가 송신처였습니다. 실제 송신처는 각 사업자의 이용자이며, 이를 특정하는 것은 어렵습니다.

다만, 3월과 6월 모두 탐색 타이밍이나 이용 중인 사업자에 공통점이 보이므로, 각 월 내에서의 탐색은 동일한 인물·조직에 의한 것일 가능성이 있다고 판단하고 있습니다. 단, 3월과 6월의 송신처 인물·조직이 동일하다는 확증은 얻지 못했습니다.

이번에는 AI 관련 서비스를 표적으로 삼고 있는 것으로 보이는 요청에 대해 소개해 드렸습니다.

AI 관련 서비스는 업무 이용이나 이용자에게 서비스를 제공하기 위해 외부로 공개되는 기회가 늘어나고 있습니다.

한편, 다음과 같은 정보나 기능이 공개되어 있을 경우, 공격자에게 탐색 및 악용될 가능성이 있습니다.

• MCP 관련 설정 및 엔드포인트 (Endpoint)
• AI 에이전트 관련 메타 정보
• 로컬 LLM 툴의 진단·응답용 엔드포인트
• 모델 관리용 UI나 모델 레지스트리 (Model Registry)

따라서 AI 관련 서비스를 공개할 때는 예를 들어 다음과 같은 점을 확인하여, 의도하지 않은 노출이 없는지 지속적으로 점검하는 것이 중요합니다.

• 의도하지 않은 API 공개가 없는지
• 비공개 API에 외부에서 접근했을 때 기대한 대로 거부되는지
• 로그 모니터링이나 알람(Alert)이 적절하게 설정되어 있는지
• /.well-known/ 등 메타데이터나 설정 정보를 배치하는 디렉토리에 기밀 정보가 포함되어 있지 않은지

또한, 탐색되는 AI 툴·서비스의 종류 및 탐색 빈도는 증가할 것으로 추측하며, 이번에 소개하지 않은 툴이나 서비스라도 적절한 설정이 되어 있는지 점검이 필요하다고 생각합니다.

당사는 앞으로도 Qiita를 통해 허니팟(Honeypot)을 이용한 관측·분석 결과를 지속적으로 보고하겠습니다.