研究发现全球130国存在17.5万台公开暴露的Ollama AI服务器

SentinelOne SentinelLABS与Censys联合调查发现，开源人工智能部署已创建了一个庞大的"非托管、公开可访问的AI计算基础设施层"，涵盖130个国家的175,000台独特Ollama主机。

研究人员表示，这些系统遍布全球的云端和住宅网络，运行在平台提供商默认实施的防护栏和监控系统之外。绝大多数暴露系统位于中国，占比略超过30%。基础设施足迹最多的国家包括美国、德国、法国、韩国、印度、俄罗斯、新加坡、巴西和英国。

研究人员Gabriel Bernadett-Shapiro和Silas Cutler补充道："观察到的主机中近一半配置了工具调用功能，使其能够执行代码、访问API并与外部系统交互，这表明大语言模型在更大系统流程中的实施正在增加。"

Ollama框架特性与安全风险

Ollama是一个开源框架，允许用户在Windows、macOS和Linux上轻松下载、运行和管理大语言模型。虽然该服务默认绑定到localhost地址127.0.0.1:11434，但通过简单更改就可能将其暴露给公共互联网：将其配置为绑定到0.0.0.0或公共接口。

Ollama与最近流行的Moltbot（原Clawdbot）一样，在本地托管并在企业安全边界之外运行，这带来了新的安全担忧。研究人员表示，这反过来需要新方法来区分托管和非托管AI计算。

在观察到的主机中，超过48%通过其API端点宣传工具调用功能，查询时会返回突出显示其支持功能的元数据。工具调用（或函数调用）是一种允许大语言模型与外部系统、API和数据库交互的功能，使其能够增强能力或检索实时数据。

研究人员指出："工具调用功能从根本上改变了威胁模型。文本生成端点可以产生有害内容，但启用工具的端点可以执行特权操作。当与身份验证不足和网络暴露相结合时，这创造了我们评估为生态系统中最高严重性风险的情况。"

多模态能力与恶意利用风险

分析还识别出支持超越文本的各种模态的主机，包括推理和视觉功能，其中201台主机运行未经审查的提示模板，移除了安全防护栏。

这些系统的暴露性质意味着它们可能容易受到LLM劫持攻击，恶意行为者滥用受害者的大语言模型基础设施资源为自己谋利，而受害者承担费用。这些攻击可能包括生成垃圾邮件和虚假信息活动、加密货币挖矿，甚至向其他犯罪集团转售访问权限。

这种风险并非理论上的。根据Pillar Security本周发布的报告，威胁行为者正在积极针对暴露的大语言模型服务端点，通过名为"Operation Bizarre Bazaar"的LLM劫持活动将AI基础设施访问权限货币化。

犯罪服务运作模式

调查结果指向一个包含三个组件的犯罪服务：系统性地扫描互联网以寻找暴露的Ollama实例、vLLM服务器和无需身份验证运行的OpenAI兼容API，通过评估响应质量验证端点，以及通过在silver.inc上宣传以折扣价格将访问权限商业化，该网站作为统一大语言模型API网关运营。

研究人员Eilon Cohen和Ariel Fogel表示："这种从侦察到商业转售的端到端操作，代表了首个有完整归因的已记录LLM劫持市场。"该操作已追溯到名为Hecker（又名Sakuya和LiveGamer101）的威胁行为者。

治理挑战与防护建议

暴露的Ollama生态系统的分散性质，分布在云端和住宅环境中，创造了治理空白，更不用说为提示注入和通过受害者基础设施代理恶意流量创建了新途径。

公司表示："大部分基础设施的住宅性质使传统治理复杂化，需要区分托管云部署和分布式边缘基础设施的新方法。对于防护者来说，关键要点是大语言模型越来越多地部署到边缘以将指令转换为行动。因此，必须使用与其他外部可访问基础设施相同的身份验证、监控和网络控制来处理它们。"

Q&A

Q1：Ollama是什么？为什么会有安全风险？

A：Ollama是一个开源框架，允许用户在Windows、macOS和Linux上轻松下载、运行和管理大语言模型。安全风险在于它默认在本地运行，但可以通过简单配置暴露到公共互联网，且运行在企业安全防护之外，容易被恶意利用。

Q2：什么是LLM劫持攻击？会造成什么危害？

A：LLM劫持是指恶意行为者滥用受害者的大语言模型基础设施资源为自己谋利，而受害者承担费用的攻击方式。危害包括生成垃圾邮件和虚假信息、进行加密货币挖矿，甚至向其他犯罪集团转售访问权限，给受害者造成经济损失。

Q3：如何防护暴露的AI服务器安全？

A：防护建议包括：对大语言模型部署实施与其他外部可访问基础设施相同的身份验证、监控和网络控制；区分托管云部署和分布式边缘基础设施；避免将AI服务直接暴露到公共互联网；建立适当的访问控制和安全监管机制。