Более 175 тысяч ИИ-серверов Ollama оказались открыты для всего интернета

Специалисты по кибербезопасности из SentinelOne SentinelLABS и компании Censys обнаружили по всему миру свыше 175 000 систем, запускающих локальные ИИ-модели через платформу Ollama, с одной критической оговоркой – они публично доступны из интернета. Некоторые из этих инстансов используются злоумышленниками.

Ollama – популярный инструмент для локального запуска LLM. По умолчанию он прослушивает только интерфейс localhost (127.0.0.1), то есть работает исключительно на той машине, где установлен. Проблема возникает, когда пользователи вручную меняют конфигурацию, заставляя сервер слушать все сетевые интерфейсы (0.0.0.0). В результате персональный ассистент оказывается на публичной арене без какого-либо пароля или фаервола.

Исследователи дали феномену название LLMjacking. Злоумышленники находят такие открытые серверы и используют их вычислительные ресурсы, электричество и интернет-трафик в своих целях. Цели бывают разными:

Генерация спама и фишингового контента.

Создание вредоносного кода или эксплойтов.

Примерно половина из обнаруженных открытых инстансов поддерживают вызов инструментов. Это значит, что ИИ может не просто отвечать на вопросы, но и выполнять код, обращаться к API и взаимодействовать с другими системами на зараженной машине, многократно увеличивая потенциал ущерба.

“Мы наблюдаем активное злоупотребление этими системами, – отмечают эксперты. – Это превратилось в своеобразный ‘серый’ рынок вычислительных ресурсов для ИИ”.

Масштаб проблемы усугубляется местом проживания многих серверов. Речь часто идет о домашних ПК, недорогих VPS или облачных виртуальных машинах, которые находятся вне периметра корпоративной безопасности, используют резидентские IP-адреса или могут запускать нецензурированные модели.

Важно подчеркнуть: