Глобальное исследование показало, что десятки тысяч серверов с искусственным интеллектом Ollama настроены неверно и доступны из интернета без какой-либо защиты. Это создаёт серьёзные риски злоупотреблений и кибератак на организации и отдельных пользователей.
Новый неизмеряемый уровень незащищенной AI-инфраструктуры
Совместное расследование лабораторий SentinelOne SentinelLABS и Censys выявило, что по всему миру насчитывается примерно 175 000 уникальных хостов AI на базе Ollama, которые открыты для прямого доступа из интернета без авторизации т.е. любой злоумышленник может к ним подключиться.
Такие плохо защищённые системы найдены в более чем 130 странах, при этом лидерами по количеству открытых серверов стали Китай, США, Германия, Франция, Южная Корея, Индия, Россия, Сингапур, Бразилия и Великобритания.
В чём проблема и как она возникает
Ollama - это открытая платформа для запуска больших языковых моделей (LLM) на собственных серверах пользователей (локально на Windows, macOS или Linux). По умолчанию сервис привязан к локальному адресу (localhost) и должен быть недоступен из интернета. Однако многие администраторы либо сознательно, либо по ошибке меняют настройки привязки, делая AI-сервисы доступными из глобальной сети.
Как отмечают исследователи, почти половина таких открытых инстансов поддерживает "tool-calling" (вызов внешних функций и кода через API). Это означает, что модели не только отвечают на запросы, но и могут выполнять локальные операции, взаимодействовать с внешними сервисами, запускать код или работать с данными.
Реальные риски злоупотреблений
Самым опасным сценарием является то, что такие легко доступные модели могут использоваться злоумышленниками для:
автоматической генерации спама и фишинговых сообщений;
развёртывания опасного или вредоносного кода;
организации кампаний по дезинформации;
выполнения операций, которые могут повредить ИТ-инфраструктуре или сети.
Исследователи называют такой тип злоупотребления "LLMjacking" (кража ресурсов LLM): злоумышленники используют чужие серверы для своих целей, в то время как владельцы платят за электричество и трафик.
Кроме того, у части этих открытых моделей вообще отсутствуют какие-либо механизмы безопасности или фильтры на запросы, что дополнительно увеличивает потенциал злоупотреблений.
Что говорят эксперты
Авторы исследования подчёркивают, что подобные инстансы, работающие вне корпоративной сети и без централизованного контроля, создают новый, плохо управляемый слой AI-инфраструктуры, который в теории подвержен тем же угрозам, что и обычные незащищённые сервисы но при этом может выполнять куда более опасные действия.
Источник: HN