1. Введение: Оллама и рост локализованного ИИ
Ollama - это фреймворк с открытым исходным кодом, который позволяет разработчикам легко загружать, запускать и управлять всеми типами крупномасштабных языковых моделей на персональных компьютерах (Windows, macOS, Linux) или серверах. Его основная задача - упростить процесс развертывания локализованного ИИ и позволить разработчикам быстро создавать частные, настраиваемые ИИ-сервисы. По умолчанию сервисы Ollama привязаны только к локальным адресам loopback (127.0.0.1:11434), чтобы обеспечить доступ к нему только локально. Однако, казалось бы, тривиальное изменение конфигурации - изменение адреса привязки на0.0.0.0или любой другой общедоступный сетевой интерфейс - полностью открыли бы свой API для публичной сети. Именно эта простая неправильная конфигурация и привела к столь масштабному разоблачению.
2. Анализ поверхности воздействия: глобальная сеть ИИ без хозяина
Согласно исследованию, 175 000 обнаруженных экземпляров представляют собой беспрецедентную, охватывающую весь мир "сеть теневого ИИ". Ее масштабы и характеристики заслуживают глубокого анализа.
2.1 Географическое распределение и сетевое окружение
Разоблаченные хосты Ollama находятся в 130 странах мира, что свидетельствует о широком географическом распределении. Среди них Китай возглавляет список с более чем 30%, за ним следуют технологически развитые страны, такие как США, Германия, Франция и Южная Корея. Такое распределение говорит о том, что эпидемия Ollama носит глобальный характер, но распространение информации о безопасности не успевает за ее внедрением.
Еще большее беспокойство вызывает тот факт, что эти узлы существуют не только у традиционных поставщиков облачных услуг (например, AWS, Azure, Google Cloud), но и широко распространены в бытовых широкополосных сетях. Такая гибридная среда развертывания значительно усложняет управление, поскольку в жилых сетях, как правило, отсутствуют механизмы мониторинга и управления безопасностью корпоративного уровня.
|
Основные страны воздействия
|
|
1. Китай (>30%)
|
|
2. Соединенные Штаты Америки
|
|
3. Германия
|
|
4. Франция
|
|
5. Корея
|
|
6. Индия
|
|
7. Россия
|
|
8. Сингапур
|
|
9. Бразилия
|
|
10. Великобритания
|
Таблица 1: Распределение топ-10 стран с открытыми экземплярами Ollama
Рисунок 1: Тепловая карта глобального распределения случаев воздействия Ollama
2.2 Возможности высокого риска: от создания текстов до привилегированных операций
Самым тревожным выводом отчета является то, что из всех подвергшихся воздействию узловПочти у половины (более 48%) включена функция Tool-calling.. Вызовы инструментов, также известные как вызовы функций, позволяют LLM взаимодействовать с внешним миром, например, выполнять собственный код, вызывать внешние API и получать доступ к ресурсам базы данных или операционной системы. Эта возможность кардинально меняет модель угроз.
"Конечная точка с генерацией обычного текста может создавать вредоносный контент, а конечная точка с инструментами может выполнять привилегированные операции. В сочетании с недостаточной аутентификацией и уязвимостью сети это представляет собой самый высокий риск в экосистеме по нашей оценке." -- исследователь SentinelOne
Это означает, что вместо общения с чат-ботом злоумышленник может получить возможность выполнять команды непосредственно на компьютере жертвы через API, не защищенный паролем. Кроме того, в ходе исследования был обнаружен 201 хост, на котором были запущены шаблоны оповещений без цензуры и сняты защитные ограждения, что облегчает создание вредоносного контента и инициирование рискованного поведения.
Рисунок 2: Сравнение моделей угроз для конечных точек генерации текста и конечных точек вызова инструментов
3. Моделирование угроз и реальные атаки: LLMjacking
В ответ на эти незащищенные инфраструктуры ИИ появился новый тип атак под названием "LLMjacking". Злоумышленник захватывает вычислительные ресурсы LLM жертвы для своих целей, а все вычислительные расходы ложатся на жертву.
3.1 Поток атак LLMjacking
Атаки LLMjacking обычно следуют стандартному процессу, который начинается с несанкционированного доступа и заканчивается нецелевым использованием ресурсов и коммерческой реализацией.
1.Разведка и обнаружение: Злоумышленники используют автоматизированные инструменты, такие как masscan, для массового сканирования Интернета на предмет открытого порта Ollama по умолчанию (11434) или других известных портов службы AI.
2.Валидация и оценка: Обнаружив открытый порт, злоумышленник отправляет тестовый запрос, чтобы убедиться, что это действительный, неаутентифицированный AI-сервис, и оценить его производительность и доступные модели.
3.захват ресурсов и злоупотребления: После определения цели злоумышленник может использовать ее вычислительные ресурсы для выполнения различных вредоносных задач, в том числе:
•Масштабное создание контента: Для рассылки спама, фишинга и дезинформационных кампаний.
•добыча криптовалюты: Хотя LLM не оптимизирован для майнинга, он все же может приносить доход в случае крупномасштабного взлома.
•Разработка вредоносных программ: Использование искусственного интеллекта для помощи в написании, обфускации и мутации вредоносного кода.
•Взлом с применением грубой силы и заполнение ваучеров: Создайте словарь паролей или автоматизируйте попытки входа в систему.
4.Реализация коммерциализации: Упаковка взломанного доступа к ИИ для перепродажи в качестве "дешевой мощности ИИ" в темной паутине или на специализированных рынках.
Рисунок 3: Полный поток атаки LLMjacking
3.2 "Операция Bizarre Bazaar": пример коммерциализации LLMjacking
LLM-взлом не является теоретическим риском: исследователи из Pillar Security обнаружили и приписали реальную атакующую кампанию под названием "Операция Bizarre Bazaar". Кампанией управляет агент угроз по имени "Hecker" (он же Sakuya, LiveGamer101), который создал атакующего под именемsilver.incНа сайте компании, который выступает в качестве единого шлюза LLM API, открыто продается доступ к сервисам искусственного интеллекта, похищенным из Интернета.
Способы работы этого рынка наглядно демонстрируют всю цепочку LLMjacking: от автоматического сканирования всей сети, проверки качества обслуживания до последующей коммерческой перепродажи. Это знаменует собой эволюцию атак на инфраструктуру ИИ от спорадических индивидуальных действий до организованной, ориентированной на получение прибыли преступной деятельности.
4. системные риски и проблемы управления
Разоблачение Ollama выявило глубокие системные риски и проблемы управления в децентрализованной модели развертывания ИИ.
•Разрыв в управлении: Открытые узлы охватывают как облачные, так и домашние сети, что делает недействительными традиционные модели безопасности предприятий, основанные на периметре. Команды безопасности не могут эффективно контролировать и управлять домашними компьютерами сотрудников или "облачными" ресурсами, о которых не сообщается.
•Новые векторы атак: Эти осиротевшие узлы ИИ представляют собой идеальный полигон и плацдарм для таких атак, как инъекция подсказок, отравление данных и заражение модели. Злоумышленники могут использовать эти узлы для передачи вредоносного трафика и скрытия его истинного происхождения.
•Риски цепочки поставок: Экземпляр Ollama с включенной функцией вызова инструментов, если он используется для автоматизации процессов в организации, может стать точкой входа для злоумышленника, чтобы проникнуть во внутреннюю сеть организации, что представляет собой серьезный риск для безопасности цепочки поставок.
•Низкий уровень осведомленности о безопасностиПростота использования Ollama привлекла большое количество разработчиков, но многие из них не понимают, что простые ошибки в конфигурации сети могут иметь такие серьезные последствия для безопасности. Налицо явное несоответствие между распространением технологий и обучением безопасности.
5. меры по смягчению последствий и рекомендации по безопасности
Перед лицом этой новой угрозы предприятия и отдельные разработчики должны пересмотреть свои стратегии внедрения ИИ и принять строгие меры безопасности.
5.1 Основные принципы безопасности
Относитесь к местному LLM как к привилегированной службеЛюбой сервис ИИ, способный выполнять код или взаимодействовать с внешними системами, должен рассматриваться как критическая инфраструктура на том же уровне, что и база данных или бэкэнд системы управления, с соответствующими мерами безопасности.
5.2 Конкретные технические рекомендации
|
уровень
|
Предлагаемые меры
|
явное описание
|
|
сетевой уровень
|
Настаивайте на местной привязке
|
Всегда привязывайте службу Ollama к127.0.0.1. Если требуется удаленный доступ, следует использовать безопасные методы туннелирования (например, VPN, SSH-туннелирование, Tailscale, ZeroTier), а не открывать порты напрямую.
|
Рисунок 4: Архитектура безопасных и опасных конфигураций
Применение правил брандмауэра : Настройте строгие правила брандмауэра на уровне хоста и сети, чтобы разрешить доступ к портам службы AI только трафику с доверенных IP-адресов.
прикладной уровень (вычислительный)обязательная сертификация : Разверните обратный прокси (например, Nginx, Caddy) на внешнем сервере Ollama и настройте его с помощью обязательных механизмов аутентификации (например, HTTP Basic Auth, OAuth2, клиентские сертификаты).
Ограничение скорости API : Обеспечьте ограничение скорости на конечных точках API для предотвращения атак методом грубой силы и атак типа "отказ в обслуживании".
Мониторинг и аудит:Проведение инвентаризации имущества Предприятиям следует создать динамическую инвентаризацию активов ИИ и использовать инструменты сканирования сети для регулярного обнаружения несанкционированных сервисов ИИ во внутренних и внешних сетях.
Мониторинг журналов и оповещение : Отслеживайте журналы доступа и журналы операций Ollama и устанавливайте предупреждения о необычных шаблонах доступа (например, запросы с неизвестных IP-адресов, частые вызовы API).
управление конфигурацией :базовый уровень безопасностиРазработка и внедрение базовых конфигураций безопасности для развертывания ИИ и включение конфигураций безопасности в процесс CI/CD для автоматических проверок.
6. Заключение
Публичное обнародование 175 000 экземпляров Ollama - это концентрированная вспышка проблемы "теневых ИТ" в эпоху ИИ. Оно наглядно демонстрирует, что традиционная централизованная модель управления безопасностью сталкивается с серьезными проблемами по мере того, как технологии ИИ спускаются на периферию и персональные устройства. Злоумышленники начали систематически использовать эти необслуживаемые ресурсы ИИ для формирования полной преступной цепочки от разведки до реализации.
Для сообщества специалистов по безопасности это тревожный сигнал. Мы должны поставить инфраструктуру ИИ, особенно "агентского" ИИ, способного взаимодействовать с внешним миром, под самый высокий уровень контроля безопасности. Для разработчиков в целом принятие открытого исходного кода и удобство должны сопровождаться сдвигом влево от безопасности и мышлением "безопасность по умолчанию" с самого первого шага развертывания. В противном случае ИИ-ассистент, который сегодня приносит нам удобства, завтра может стать троянским конем, приводящим волков в дом.
Оригинальная статья написана Chief Security Officer, при воспроизведении просьба указывать: https://www.cncso.com/ru/ai-ollama-attack-surface-analysis-report.html.
