Una nueva investigación conjunta de SentinelOne SentinelLABS y Censys ha revelado que la implementación de inteligencia artificial (IA) de código abierto ha creado una vasta 'capa de infraestructura de cómputo de IA no gestionada y accesible públicamente' que abarca 175.000 hosts únicos de Ollama en 130 países.
Estos sistemas, que se extienden por redes en la nube y residenciales en todo el mundo, operan fuera de los mecanismos de protección y monitoreo que los proveedores de plataformas implementan por defecto, según la empresa. La gran mayoría de las exposiciones se encuentran en China, representando un poco más del 30%. Los países con mayor huella de infraestructura incluyen EE.UU., Alemania, Francia, Corea del Sur, India, Rusia, Singapur, Brasil y el Reino Unido.
'Casi la mitad de los hosts observados están configurados con capacidades de llamada a herramientas que les permiten ejecutar código, acceder a API e interactuar con sistemas externos, lo que demuestra la creciente implementación de LLM en procesos de sistema más amplios', agregaron los investigadores Gabriel Bernadett-Shapiro y Silas Cutler.
Ollama es un marco de código abierto que permite a los usuarios descargar, ejecutar y gestionar fácilmente grandes modelos de lenguaje (LLM) localmente en Windows, macOS y Linux. Aunque el servicio se vincula por defecto a la dirección localhost 127.0.0.1:11434, es posible exponerlo a Internet público mediante un cambio trivial: configurarlo para vincularse a 0.0.0.0 o a una interfaz pública.
El hecho de que Ollama, al igual que el recientemente popular Moltbot (antes Clawdbot), pueda alojarse localmente y operar fuera del perímetro de seguridad empresarial, plantea nuevas preocupaciones de seguridad. Esto, a su vez, requiere nuevos enfoques para distinguir entre la IA gestionada y la no gestionada, dijeron los investigadores.
De los hosts observados, más del 48% publicitan capacidades de llamada a herramientas a través de sus puntos finales API que, al ser consultados, devuelven metadatos que destacan las funcionalidades que soportan. La llamada a herramientas (o llamada a funciones) es una capacidad que permite a los LLM interactuar con sistemas externos, API y bases de datos, permitiéndoles aumentar sus capacidades o recuperar datos en tiempo real.
'Las capacidades de llamada a herramientas alteran fundamentalmente el modelo de amenazas. Un punto final de generación de texto puede producir contenido dañino, pero un punto final habilitado para herramientas puede ejecutar operaciones privilegiadas', señalaron los investigadores. 'Cuando se combina con una autenticación insuficiente y exposición a la red, esto crea lo que evaluamos como el riesgo de mayor gravedad en el ecosistema'.
El análisis también ha identificado hosts que soportan varias modalidades que van más allá del texto, incluyendo capacidades de razonamiento y visión, con 201 hosts ejecutando plantillas de prompt sin censura que eliminan las barreras de seguridad.
La naturaleza expuesta de estos sistemas significa que podrían ser susceptibles al LLMjacking, donde los recursos de infraestructura LLM de una víctima son abusados por actores maliciosos en su beneficio, mientras que la víctima paga la factura. Estos podrían ir desde la generación de correos electrónicos no deseados y campañas de desinformación hasta la minería de criptomonedas e incluso la reventa de acceso a otros grupos criminales.
El riesgo no es teórico. Según un informe publicado esta semana por Pillar Security, los actores de amenazas están atacando activamente puntos finales de servicio LLM expuestos para monetizar el acceso a la infraestructura de IA como parte de una campaña de LLMjacking denominada Operación Bizarre Bazaar.
Los hallazgos apuntan a un servicio criminal que contiene tres componentes: escanear sistemáticamente Internet en busca de instancias Ollama expuestas, servidores vLLM y APIs compatibles con OpenAI que se ejecutan sin autenticación; validar los puntos finales evaluando la calidad de la respuesta; y comercializar el acceso a tarifas con descuento publicitándolo en silver.inc, que opera como un Unified LLM API Gateway.
'Esta operación integral, desde el reconocimiento hasta la reventa comercial, representa el primer mercado de LLMjacking documentado con atribución completa', dijeron los investigadores Eilon Cohen y Ariel Fogel. La operación se ha rastreado hasta un actor de amenazas llamado Hecker (también conocido como Sakuya y LiveGamer101).
La naturaleza descentralizada del ecosistema Ollama expuesto, que se extiende por entornos en la nube y residenciales, crea brechas de gobernanza, sin mencionar que abre nuevas vías para inyecciones de prompt y proxy de tráfico malicioso a través de la infraestructura de la víctima.
'La naturaleza residencial de gran parte de la infraestructura complica la gobernanza tradicional y requiere nuevos enfoques que distingan entre implementaciones en la nube gestionadas e infraestructura de borde distribuida', dijeron las empresas. 'Para los defensores, la conclusión clave es que los LLM se implementan cada vez más en el borde para traducir instrucciones en acciones. Como tal, deben tratarse con los mismos controles de autenticación, monitoreo y red que cualquier otra infraestructura accesible externamente'.
