Advertencia sobre 175,000 servidores de Ollama AI expuestos en todo el mundo
Publicado el
Exposición Masiva de Servidores de Ollama AI
Una reciente investigación realizada por SentinelOne y Censys ha revelado la existencia de 175,000 servidores de Ollama AI expuestos públicamente en 130 países. Esta situación ha generado una infraestructura de computación AI no gestionada que presenta graves riesgos de seguridad.
La mayoría de estos servidores se encuentran en China, que representa más de un 30% del total, mientras que otros países destacados incluyen EE.UU., Alemania, Francia, Corea del Sur, India, Rusia, Singapur, Brasil y el Reino Unido. Los investigadores, Gabriel Bernadett-Shapiro y Silas Cutler, han señalado que casi la mitad de los servidores observados están configurados con capacidades de llamadas a herramientas, lo que les permite ejecutar código, acceder a APIs e interactuar con sistemas externos.
Ollama es un marco de código abierto que permite a los usuarios descargar, ejecutar y gestionar modelos de lenguaje a gran escala en sistemas operativos como Windows, macOS y Linux. Aunque por defecto se conecta a la dirección localhost 127.0.0[.]1:11434, es posible exponerlo a Internet con un simple cambio de configuración, lo que incrementa las preocupaciones de seguridad.
Nuevos Desafíos de Seguridad
Este tipo de exposición puede dar lugar a lo que se conoce como LLMjacking, donde recursos de infraestructura de LLM son explotados por actores maliciosos. Las consecuencias pueden incluir el envío de spam, campañas de desinformación, minería de criptomonedas o incluso la reventa de acceso a otras organizaciones criminales. La investigación de Pillar Security ha indicado que los actores de amenazas están apuntando activamente a estos puntos finales expuestos para monetizar el acceso a la infraestructura de AI.
La operación, denominada Operation Bizarre Bazaar, consiste en escanear sistemáticamente la web en busca de instancias de Ollama expuestas, validar los puntos finales y comercializar el acceso a tasas reducidas. Este mercado representa la primera documentación de un mercado de LLMjacking con atribución completa, vinculado a un actor de amenazas conocido como Hecker (también conocido como Sakuya y LiveGamer101).
Implicaciones para la Seguridad
La naturaleza descentralizada de la infraestructura expuesta de Ollama plantea vacíos de gobernanza y abre nuevas vías para inyecciones de comandos y tráfico malicioso a través de la infraestructura de las víctimas. La complejidad de esta infraestructura, que se extiende por entornos residenciales y en la nube, requiere enfoques innovadores que diferencien entre implementaciones de nube gestionadas y distribución de infraestructura en el borde.
Los expertos advierten que los modelos de lenguaje deben ser tratados con las mismas medidas de autenticación, monitoreo y controles de red que cualquier otra infraestructura accesible externamente. Esto es crucial, dado que los LLM están siendo cada vez más desplegados en el borde para traducir instrucciones en acciones, lo que aumenta el potencial de explotación si no se gestionan adecuadamente.
La situación actual subraya la necesidad de una revisión exhaustiva de las políticas de seguridad en el manejo de servidores de AI, para prevenir abusos y proteger tanto a los usuarios como a la infraestructura global.