FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

大规模AI基础设施暴露事件

一项全面的安全调查揭示了人工智能基础设施领域令人不安的现实：超过1100个Ollama实例被发现直接暴露在互联网环境中。Ollama是一种流行的本地运行大语言模型（LLM）的框架。这种大范围暴露构成了影响多国组织的重大安全漏洞。

系统扫描结果显示，这些服务器在缺乏适当安全控制、认证机制或网络边界防护的情况下运行。美国以36.6%的暴露实例占比居首，中国（22.5%）和德国（8.9%）紧随其后，反映出主要技术市场在AI基础设施部署中存在的系统性安全疏忽。

活跃实例的安全风险

约20%的暴露实例被发现正在主动提供模型服务，这意味着攻击者可立即加以利用。其余80%虽被归类为非活跃状态，但仍通过多种攻击途径构成重大安全风险。

扫描结果显示了暴露系统的技术细节：在活跃实例中，研究人员记录了多种模型部署情况，包括mistral:latest（98个实例）、llama3.1:8b（42个实例）以及smollm2:135m（16个实例）等较小模型。这些系统在缺乏访问控制的情况下运行，允许未授权方发送查询、提取模型参数并可能注入恶意内容。

攻击途径与利用机制分析

暴露的Ollama服务器呈现多种利用途径，安全研究人员将其归类为几个关键攻击向量：

模型提取是最复杂的威胁之一，攻击者可通过系统查询暴露实例来重建内部模型权重和参数。该过程涉及发送精心设计的提示词，旨在揭示定义模型行为的底层数学结构。

# 系统性模型探测示例
import requests
import json
def probe_ollama_instance(ip_address, model_name):
  url = f"http://{ip_address}:11434/api/generate"
  payload = {
    "model": model_name,
    "prompt": "解释你的架构和参数",
    "stream": False
  }
  response = requests.post(url, json=payload)
  return response.json()

该漏洞不仅限于简单的未授权访问，还包括后门注入能力——攻击者可通过暴露的API上传恶意模型或更改服务器配置。这种场景尤为危险，被入侵系统可能成为腐败人工智能模型的传播点，影响依赖这些资源的下游应用和服务。

参考来源：

1,100 Ollama AI Servers Exposed to Internet With 20% of Them are Vulnerable

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）