百万AI服务裸奔实测：比想象中更危险

你刚部署完一套大模型服务，以为藏在内网就安全了。但证书日志不会撒谎——全球有100万个AI服务端口暴露在公网，其中大量连密码都没设。

网络安全公司Intruder最近做了一次扫描，范围覆盖200万台主机。他们发现，AI基础设施的安全状况比任何传统软件都糟糕。这不是"未来风险"，是已经发生的现实。

ClawdBot事件：每天2.6个漏洞的警钟

事情的起因是一次病毒式传播的自托管AI助手事件。ClawdBot平均每天爆出2.6个CVE（通用漏洞披露），这个数字让安全团队坐不住了。

Intruder团队决定动手验证：AI基础设施的安全问题到底有多普遍？

他们利用证书透明度日志（Certificate Transparency Logs），这是一种记录所有SSL证书签名的公开系统。通过分析这些日志，可以定位到大量自托管服务。最终扫描范围锁定在200多万台主机，涉及100万个暴露的服务端口。

结果用他们自己的话说："我们调查过的任何软件都没这么糟糕。"

正方：AI部署的"速度优先"逻辑

企业为什么愿意承担这种风险？先看支持快速部署的底层逻辑。

第一，AI被视为" force multiplier"（战力倍增器）。在竞争压力下，谁能先把大模型能力接入工作流，谁就能更快交付价值。自托管意味着数据不出境、响应延迟低、模型选择自由——这三点对金融、医疗、法律行业至关重要。

第二，开源生态的成熟度超出预期。从Llama到Mistral，从LangChain到AutoGen，企业可以在几小时内搭起一套生产级AI流水线。工具链的完善降低了技术门槛，也加速了决策。

第三，成本结构在变化。API调用费随用量线性增长，而自托管的边际成本趋近于零。对于高频调用场景，自建基础设施的ROI（投资回报率）在6-18个月内就能转正。

这些理由都很扎实。问题是：速度和安全之间的平衡点，被大幅推向了前者。

反方：默认配置埋下的雷

扫描发现的核心问题，不是企业"忘了"做安全，而是很多项目根本没把安全设为默认选项。

Intruder团队在源代码层面找到了原因：大量AI基础设施项目的认证机制默认关闭。这不是文档里 buried 的选项，是开箱即用的状态——直接部署，直接暴露。

具体发现了什么？

聊天机器人暴露用户对话历史。基于OpenUI的一个实例，完整保留了某用户的LLM对话记录。表面看只是聊天记录，但在企业场景里，这些对话可能包含客户数据、商业策略、未公开的产品信息。

更危险的是"通用型"聊天机器人。它们托管多模态大模型，对外完全开放。攻击者可以利用"越狱"（jailbreak）技术绕过安全护栏，生成违法内容或获取犯罪建议——用的是别人的算力，走的是别人的账单，留下的是别人的责任痕迹。

Intruder指出：「人们正在找到创造性的方式，利用公司聊天机器人来访问更强大的模型，而无需付费，也无需将请求记录到自己的账户。」这不是假设，是已经观察到的行为模式。

还有更离谱的。部分NSFW（不宜工作场所）聊天机器人不仅暴露大量个人私密对话，其运行的Claude驱动程序还在明文泄露API密钥。这意味着攻击者可以直接接管这些账号，继续消耗额度或访问更高级别的模型权限。

自动化平台同样中招。n8n和Flowise的实例被暴露在公网，用户明显以为这些是"内部系统"。其中一个Flowise实例尤其典型：它不仅暴露了整套LLM聊天机器人的业务逻辑，还泄露了凭据列表。虽然Flowise的安全设计阻止了未认证访客直接读取存储值，但攻击面已经打开。

关键分歧：谁该为"默认不安全"负责？

这里存在一个责任归属的灰色地带。

开源项目的维护者会说：我们的目标是最小化上手门槛，安全加固是部署者的责任。文档里写了如何启用认证，生产环境 checklist 也提供了。

企业用户的实际行为却是：先跑起来，再慢慢优化。DevOps团队接到的是"本周上线"的指令，不是"等安全审计通过"。当默认配置就是不安全的时候，"慢慢优化"意味着窗口期可能长达数周甚至数月。

Intruder的扫描数据揭示了一个结构性矛盾：AI基础设施的采用速度，远超安全实践的迭代速度。过去几十年软件行业在供应链安全、默认加密、漏洞响应上的进步，正在被这一波部署热潮稀释。

这不是某个企业的失误，是系统性的配置灾难。

我的判断：暴露面正在扩大，但窗口期在收窄

这件事的重要性在于它揭示了AI原生安全的一个根本特征：攻击面和业务价值同步增长。

传统软件的安全模型是"护城河"思维——把核心资产围起来，对外暴露的接口越少越好。但AI服务天生需要开放性：模型要接多数据源，agent要跨系统调用，工作流要嵌入现有工具链。每增加一个集成点，就是增加一个潜在的暴露面。

更关键的是，AI服务的"智能"特性让风险更难预测。一个暴露的API端点，在传统场景下可能只是数据泄露；在AI场景下，攻击者可能通过精心构造的提示词（prompt）诱导模型执行未授权操作，或者利用模型的推理能力反向工程内部知识库。

Intruder的扫描发生在ClawdBot事件之后，但暴露的问题具有普遍性。100万个服务端口不是终点，随着更多企业加入自托管行列，这个数字还会继续膨胀。

不过，窗口期正在收窄。证书透明度日志的公开性意味着，不仅安全研究人员在扫描，攻击者也在扫描。当"暴露的AI服务"成为自动化攻击的常规目标，企业的安全预算和响应速度将面临更直接的考验。

短期来看，最紧迫的动作是审计现有的自托管基础设施：认证是否强制启用？网络边界是否清晰？密钥管理是否符合最小权限原则？

中期来看，行业需要建立AI基础设施的安全基准。不是每个企业都有能力从零设计安全架构，开源项目也需要在"易用性"和"默认安全"之间重新平衡。

长期来看，AI服务的安全模型可能需要根本性重构。当模型本身成为攻击媒介，传统的边界防御思路是否仍然有效？这个问题还没有答案。

你现在使用的AI服务，是自建的还是第三方托管的？如果是自建，上一次全面安全审计是什么时候？