发现 175K+ 公开暴露的 Ollama AI 实例

Source: Hacker News

Image credit: Getty Images/Surasak Suwanmake

Ollama 实例的公开暴露

• 175,000 台 Ollama 系统配置错误，未进行身份验证即可公开访问
• 攻击者利用 LLMjacking 对实例进行攻击，生成垃圾信息和恶意软件内容
• 问题源于用户配置错误，可通过仅绑定本地主机来修复

安全研究人员在全球范围内发现约 175,000 台公开暴露的 Ollama 实例，导致它们面临恶意利用的风险。其中一些实例已经被滥用，运营者应考虑重新配置部署。

SentinelOne SentinelLABS 与 Censys 发现，许多企业在本地使用 Ollama 运行 AI 模型，而 Ollama 本应仅在本机上监听。在约 175,000 起案例中，服务被错误配置为监听所有网络接口，使得该 AI 可被任何互联网用户在没有身份验证的情况下访问。

LLMjacking

这些实例大多运行在家庭网络、VPS 服务器或云机器上，约有一半支持“工具调用”，允许 AI 执行代码、调用 API 并与其他系统交互。恶意行为者可以利用这些实例进行一种称为 LLMjacking 的攻击，使用受害者的电力、带宽和计算资源来生成垃圾信息、恶意软件，或将访问权限转售给其他犯罪分子。

这些系统通常缺乏企业级防火墙、监控和身份验证，尤其是托管在住宅 IP 上时，更难追踪且易于被利用。一些实例还运行未经过审查的模型，缺少安全检查，进一步提升了被滥用的可能性。

问题并非软件漏洞，而是配置问题。Ollama 默认仅绑定本地主机 (127.0.0.1)。用户必须确保实例保持仅绑定本地主机，或通过身份验证和防火墙规则进行保护，以防止 LLMjacking。

Via The Hacker News