1. 首頁 > 生活百科 > >

研究發現全球130國存在17.5萬臺公開暴露的Ollama AI服務器

洗碗機家電年夜飯

研究發現全球130國存在17.5萬臺公開暴露的Ollama AI服務器

SentinelOne SentinelLABS與Censys聯合調查發現 , 開源人工智能部署已創建了一個龐大的\"非托管、公開可訪問的AI計算基礎設施層\" , 涵蓋130個國家的175000臺獨特Ollama主機 。

研究人員表示 , 這些系統遍布全球的云端和住宅網絡 , 運行在平臺提供商默認實施的防護欄和監控系統之外 。 絕大多數暴露系統位于中國 , 占比略超過30% 。 基礎設施足跡最多的國家包括美國、德國、法國、韓國、印度、俄羅斯、新加坡、巴西和英國 。
研究人員Gabriel Bernadett-Shapiro和Silas Cutler補充道:\"觀察到的主機中近一半配置了工具調用功能 , 使其能夠執行代碼、訪問API并與外部系統交互 , 這表明大語言模型在更大系統流程中的實施正在增加 。 \"
Ollama框架特性與安全風險
Ollama是一個開源框架 , 允許用戶在Windows、macOS和Linux上輕松下載、運行和管理大語言模型 。 雖然該服務默認綁定到localhost地址127.0.0.1:11434 , 但通過簡單更改就可能將其暴露給公共互聯網:將其配置為綁定到0.0.0.0或公共接口 。
Ollama與最近流行的Moltbot(原Clawdbot)一樣 , 在本地托管并在企業安全邊界之外運行 , 這帶來了新的安全擔憂 。 研究人員表示 , 這反過來需要新方法來區分托管和非托管AI計算 。
在觀察到的主機中 , 超過48%通過其API端點宣傳工具調用功能 , 查詢時會返回突出顯示其支持功能的元數據 。 工具調用(或函數調用)是一種允許大語言模型與外部系統、API和數據庫交互的功能 , 使其能夠增強能力或檢索實時數據 。
研究人員指出:\"工具調用功能從根本上改變了威脅模型 。 文本生成端點可以產生有害內容 , 但啟用工具的端點可以執行特權操作 。 當與身份驗證不足和網絡暴露相結合時 , 這創造了我們評估為生態系統中最高嚴重性風險的情況 。 \"
多模態能力與惡意利用風險
分析還識別出支持超越文本的各種模態的主機 , 包括推理和視覺功能 , 其中201臺主機運行未經審查的提示模板 , 移除了安全防護欄 。
這些系統的暴露性質意味著它們可能容易受到LLM劫持攻擊 , 惡意行為者濫用受害者的大語言模型基礎設施資源為自己謀利 , 而受害者承擔費用 。 這些攻擊可能包括生成垃圾郵件和虛假信息活動、加密貨幣挖礦 , 甚至向其他犯罪集團轉售訪問權限 。
這種風險并非理論上的 。 根據Pillar Security本周發布的報告 , 威脅行為者正在積極針對暴露的大語言模型服務端點 , 通過名為\"Operation Bizarre Bazaar\"的LLM劫持活動將AI基礎設施訪問權限貨幣化 。
犯罪服務運作模式
調查結果指向一個包含三個組件的犯罪服務:系統性地掃描互聯網以尋找暴露的Ollama實例、vLLM服務器和無需身份驗證運行的OpenAI兼容API , 通過評估響應質量驗證端點 , 以及通過在silver.inc上宣傳以折扣價格將訪問權限商業化 , 該網站作為統一大語言模型API網關運營 。
研究人員Eilon Cohen和Ariel Fogel表示:\"這種從偵察到商業轉售的端到端操作 , 代表了首個有完整歸因的已記錄LLM劫持市場 。 \"該操作已追溯到名為Hecker(又名Sakuya和LiveGamer101)的威脅行為者 。
治理挑戰與防護建議
【研究發現全球130國存在17.5萬臺公開暴露的Ollama AI服務器】暴露的Ollama生態系統的分散性質 , 分布在云端和住宅環境中 , 創造了治理空白 , 更不用說為提示注入和通過受害者基礎設施代理惡意流量創建了新途徑 。
公司表示:\"大部分基礎設施的住宅性質使傳統治理復雜化 , 需要區分托管云部署和分布式邊緣基礎設施的新方法 。 對于防護者來說 , 關鍵要點是大語言模型越來越多地部署到邊緣以將指令轉換為行動 。 因此 , 必須使用與其他外部可訪問基礎設施相同的身份驗證、監控和網絡控制來處理它們 。 \"
Q&A
Q1:Ollama是什么?為什么會有安全風險?
A:Ollama是一個開源框架 , 允許用戶在Windows、macOS和Linux上輕松下載、運行和管理大語言模型 。 安全風險在于它默認在本地運行 , 但可以通過簡單配置暴露到公共互聯網 , 且運行在企業安全防護之外 , 容易被惡意利用 。
Q2:什么是LLM劫持攻擊?會造成什么危害?
A:LLM劫持是指惡意行為者濫用受害者的大語言模型基礎設施資源為自己謀利 , 而受害者承擔費用的攻擊方式 。 危害包括生成垃圾郵件和虛假信息、進行加密貨幣挖礦 , 甚至向其他犯罪集團轉售訪問權限 , 給受害者造成經濟損失 。
Q3:如何防護暴露的AI服務器安全?
A:防護建議包括:對大語言模型部署實施與其他外部可訪問基礎設施相同的身份驗證、監控和網絡控制;區分托管云部署和分布式邊緣基礎設施;避免將AI服務直接暴露到公共互聯網;建立適當的訪問控制和安全監管機制 。

    推薦閱讀