此篇文章把焦點放在一個乍看「開源、好用、自己跑模型」的工具,如何在全球規模下意外變成資安風險。文章引述SentinelOne與Censys的研究指出,開源大語言模型框架Ollama在網際網路上形成約17.5萬臺可公開存取的主機,遍及130個國家,像是一座沒有主人看守的「AI運算資源池」。文章先提醒讀者,Ollama原本的設計是把執行個體綁在本機介面,理論上只有同一臺機器上的程式或使用者能存取;但只要部署者把服務綁定地址改成0.0.0.0或指向公開網路介面,端點就會直接暴露在整個網際網路上。文章強調,問題往往不在工具本身,而在「對外開放」後卻沒有搭配防火牆或存取控制,讓外部任何人都可能碰得到這些Ollama服務。
此篇文章進一步用研究掃描結果把規模具體化。研究團隊合作掃描可從網路直接存取的Ollama環境,累計293天後找到175,018臺主機,分布在4,032個ASN,其中中國約占30%、美國約占21%。文章還提到他們紀錄到723萬次觀察活動,但其中大半集中在2.3萬臺主機,暗示曝露的環境可能有特定「熱點」被頻繁使用或探測。更關鍵的是,文章把風險從「可被連到」推進到「可被拿來做事」:超過48%的主機具備透過API端點呼叫工具的能力,能執行程式碼、存取API、與外部系統互動;有38%甚至同時具備使用工具與完成完整任務的能力。文章也點出至少201臺主機使用「非審查」提示範本,等於移除安全護欄,讓濫用門檻更低、可做的事情更多。
此篇文章最後把這些技術細節串成幾個清楚的安全隱憂。文章認為,首先是未經驗證、監控或計費控管的資源可被隨意存取,可能被用來發送垃圾信、釣魚信、散播假訊息或其他網路濫用,等於把成本轉嫁給無辜的主機擁有者。此篇文章並把「工具呼叫能力」視為最高風險情境,因為當公開曝露又驗證不足時,攻擊者可能透過提示注入誘導LLM去查詢或操作本不應外露的系統資料,進而進行高權限運作。文章也提醒,公開主機多集中於Llama、Qwen2、Gemma2等模型家族,且常用相同量化格式如Q4_K_M,形成脆弱的單一環境,一旦模型或格式存在可被操控的缺陷,可能引發「同招通殺」的大規模影響。最後,此篇文章補上兩個現實層面的麻煩:大量部署在家用網路或低成本VPS,讓駭客更容易做身份洗白、繞過過濾與反機器人檢測;加上缺乏雲端式集中管理,一旦被濫用,也更難透過傳統通報與封鎖流程快速遏止。
