175K+ 공개된 Ollama AI 인스턴스 발견

Source: Hacker News

이미지 출처: Getty Images/Surasak Suwanmake

Ollama 인스턴스의 공개 노출

• 175,000개의 Ollama 시스템이 잘못 구성되어 인증 없이 공개 노출
• 공격자는 LLMjacking을 통해 인스턴스를 악용해 스팸 및 악성 코드 생성
• 문제는 사용자 설정 오류에서 비롯되며, 로컬호스트에만 바인딩하면 해결 가능

보안 연구원들은 전 세계적으로 약 175,000개의 Ollama 인스턴스가 공개적으로 노출되어 악의적인 악용 위험에 처해 있음을 확인했습니다. 이미 일부 인스턴스가 악용되고 있으므로 운영자는 배포 설정을 재구성하는 것을 고려해야 합니다.

SentinelOne SentinelLABS와 Censys는 많은 기업이 Ollama를 사용해 로컬에서 AI 모델을 실행하고 있으며, 이는 호스트 머신에서만 청취하도록 설계되었습니다. 약 175,000건의 경우 서비스가 모든 네트워크 인터페이스에서 청취하도록 잘못 구성되어, 인증 없이 인터넷에 연결된 누구라도 AI에 접근할 수 있게 되었습니다.

LLMjacking

이러한 인스턴스 대부분은 가정용 인터넷, VPS 서버, 혹은 클라우드 머신에서 실행되며, 절반 가량은 “툴 호출(tool calling)”을 허용합니다. 이를 통해 AI가 코드를 실행하고, API를 호출하며, 다른 시스템과 상호작용할 수 있습니다. 악의적인 행위자는 LLMjacking이라 불리는 공격을 통해 피해자의 전기, 대역폭, 컴퓨팅 자원을 이용해 스팸, 악성코드 생성 또는 다른 범죄자에게 접근 권한을 재판매할 수 있습니다.

이 시스템들은 기업 방화벽, 모니터링, 인증이 부족한 경우가 많으며, 특히 주거용 IP에서 호스팅될 경우 추적이 어렵고 악용이 쉽습니다. 일부는 안전 검증이 없는 검열되지 않은 모델을 실행해 남용 가능성을 더욱 높이고 있습니다.

문제는 소프트웨어 버그가 아니라 설정 오류입니다. Ollama는 기본적으로 127.0.0.1(localhost)만 바인딩하도록 되어 있습니다. 사용자는 인스턴스가 localhost에만 바인딩되도록 하거나, 인증 및 방화벽 규칙을 통해 보호하여 LLMjacking을 방지해야 합니다.

Via The Hacker News