Một cuộc điều tra chung mới của SentinelOne SentinelLABS và Censys đã tiết lộ rằng việc triển khai trí tuệ nhân tạo (AI) mã nguồn mở đã tạo ra một "lớp hạ tầng điện toán AI không được quản lý, có thể truy cập công khai" rộng lớn, trải dài 175.000 máy chủ Ollama độc đáo trên 130 quốc gia.
Các hệ thống này, trải rộng trên cả mạng đám mây và mạng dân cư trên toàn thế giới, hoạt động ngoài các cơ chế bảo vệ và hệ thống giám sát mà các nhà cung cấp nền tảng triển khai theo mặc định, công ty cho biết. Phần lớn các lỗ hổng nằm ở Trung Quốc, chiếm hơn 30%. Các quốc gia có hạ tầng lớn nhất bao gồm Hoa Kỳ, Đức, Pháp, Hàn Quốc, Ấn Độ, Nga, Singapore, Brazil và Vương quốc Anh.
Các nhà nghiên cứu Gabriel Bernadett-Shapiro và Silas Cutler cho biết thêm: "Gần một nửa số máy chủ được quan sát được cấu hình với khả năng tool-calling, cho phép chúng thực thi code, truy cập API và tương tác với các hệ thống bên ngoài, thể hiện sự gia tăng việc tích hợp LLM vào các quy trình hệ thống lớn hơn."
Ollama là một framework mã nguồn mở cho phép người dùng dễ dàng tải xuống, chạy và quản lý các large language models (LLM) cục bộ trên Windows, macOS và Linux. Mặc dù dịch vụ này mặc định liên kết với địa chỉ localhost tại 127.0.0[.]1:11434, nhưng có thể cho phép truy cập công khai thông qua một thay đổi đơn giản: cấu hình nó để liên kết với 0.0.0[.]0 hoặc một giao diện mạng công cộng.
Việc Ollama, giống như Moltbot (trước đây là Clawdbot) gần đây phổ biến, được lưu trữ cục bộ và hoạt động bên ngoài vùng bảo mật của doanh nghiệp, đặt ra những lo ngại an ninh mới. Điều này, đến lượt nó, đòi hỏi các phương pháp tiếp cận mới để phân biệt giữa điện toán AI được quản lý và không được quản lý, các nhà nghiên cứu cho biết.
Trong số các máy chủ được quan sát, hơn 48% quảng cáo khả năng tool-calling thông qua các API endpoints của chúng, khi được truy vấn, sẽ trả về metadata làm nổi bật các chức năng mà chúng hỗ trợ. Tool calling (hoặc function calling) là một khả năng cho phép LLM tương tác với các hệ thống, API và database bên ngoài, giúp chúng tăng cường khả năng hoặc truy xuất dữ liệu thời gian thực.
Các nhà nghiên cứu lưu ý: "Khả năng tool-calling về cơ bản làm thay đổi threat model. Một endpoint tạo văn bản có thể tạo ra nội dung độc hại, nhưng một endpoint có kích hoạt tool có thể thực hiện các hoạt động có đặc quyền. Khi kết hợp với xác thực không đầy đủ và lộ mạng, điều này tạo ra thứ mà chúng tôi đánh giá là rủi ro nghiêm trọng nhất trong hệ sinh thái."
Phân tích cũng đã xác định các máy chủ hỗ trợ nhiều phương thức khác ngoài văn bản, bao gồm khả năng suy luận và thị giác, với 201 máy chủ chạy các prompt templates không được kiểm duyệt, loại bỏ các cơ chế bảo vệ an toàn.
Bản chất bị lộ của các hệ thống này có nghĩa là chúng có thể dễ bị tấn công LLMjacking, nơi tài nguyên hạ tầng LLM của nạn nhân bị những kẻ xấu lợi dụng để trục lợi, trong khi nạn nhân phải chịu chi phí. Những hành vi này có thể bao gồm từ việc tạo email spam và các chiến dịch thông tin sai lệch đến khai thác tiền điện tử và thậm chí bán lại quyền truy cập cho các nhóm tội phạm khác.
Nguy cơ này không chỉ là lý thuyết. Theo một báo cáo được Pillar Security công bố trong tuần này, các threat actors đang tích cực nhắm mục tiêu vào các LLM service endpoints bị lộ để kiếm tiền từ việc truy cập vào hạ tầng AI như một phần của chiến dịch LLMjacking được gọi là Operation Bizarre Bazaar.
Các phát hiện chỉ ra một dịch vụ tội phạm bao gồm ba thành phần: quét internet một cách có hệ thống để tìm kiếm các Ollama instances, vLLM servers và OpenAI-compatible APIs bị lộ đang chạy mà không có xác thực, xác thực các endpoints bằng cách đánh giá chất lượng phản hồi và thương mại hóa quyền truy cập với mức giá chiết khấu bằng cách quảng cáo nó trên silver[.]inc, hoạt động như một Unified LLM API Gateway.
Các nhà nghiên cứu Eilon Cohen và Ariel Fogel cho biết: "Hoạt động từ đầu đến cuối này – từ trinh sát đến bán lại thương mại – đại diện cho thị trường LLMjacking được ghi nhận đầu tiên với sự quy kết đầy đủ." Hoạt động này đã được truy dấu đến một threat actor tên là Hecker (còn gọi là Sakuya và LiveGamer101).
Bản chất phi tập trung của hệ sinh thái Ollama bị lộ, trải rộng trên các môi trường đám mây và dân cư, tạo ra những khoảng trống trong quản trị, chưa kể đến việc tạo ra các con đường mới cho prompt injections và proxying lưu lượng độc hại thông qua hạ tầng của nạn nhân.
Các công ty cho biết: "Bản chất dân cư của phần lớn hạ tầng làm phức tạp việc quản trị truyền thống và đòi hỏi các phương pháp tiếp cận mới để phân biệt giữa các triển khai cloud được quản lý và hạ tầng edge phân tán. Đối với các nhà phòng thủ, điểm mấu chốt là LLM ngày càng được triển khai đến edge để dịch các hướng dẫn thành hành động. Do đó, chúng phải được xử lý với cùng các biện pháp xác thực, giám sát và kiểm soát mạng như các hạ tầng có thể truy cập bên ngoài khác."
