Una nueva investigación conjunta de SentinelOne SentinelLABS y Censys ha revelado que la implementación de inteligencia artificial (IA) de código abierto ha creado una vasta «capa no administrada y de acceso público de infraestructura informática de IA» que abarca 175.000 hosts únicos de Ollama en 130 países.
Estos sistemas, que abarcan redes residenciales y en la nube en todo el mundo, operan fuera de las barreras de seguridad y los sistemas de monitoreo que los proveedores de plataformas implementan de forma predeterminada, dijo la compañía. La gran mayoría de las exposiciones se encuentran en China, representando algo más del 30%. Los países con mayor huella de infraestructura incluyen Estados Unidos, Alemania, Francia, Corea del Sur, India, Rusia, Singapur, Brasil y el Reino Unido.
«Casi la mitad de los hosts observados están configurados con capacidades de llamada de herramientas que les permiten ejecutar código, acceder a API e interactuar con sistemas externos, lo que demuestra la creciente implementación de LLM en procesos de sistemas más grandes», agregaron los investigadores Gabriel Bernadett-Shapiro y Silas Cutler.
Ollama es un marco de código abierto que permite a los usuarios descargar, ejecutar y administrar fácilmente modelos de lenguajes grandes (LLM) localmente en Windows, macOS y Linux. Si bien el servicio se vincula a la dirección de host local en 127.0.0(.)1:11434 de forma predeterminada, es posible exponerlo a la Internet pública mediante un cambio trivial: configurarlo para que se vincule a 0.0.0(.)0 o una interfaz pública.
El hecho de que Ollama, al igual que el recientemente popular Moltbot (anteriormente Clawdbot), esté alojado localmente y opere fuera del perímetro de seguridad empresarial, plantea nuevas preocupaciones de seguridad. Esto, a su vez, requiere nuevos enfoques para distinguir entre computación de IA administrada y no administrada, dijeron los investigadores.
De los hosts observados, más del 48% anuncia capacidades de llamada de herramientas a través de sus puntos finales API que, cuando se les consulta, devuelven metadatos que destacan las funcionalidades que admiten. La llamada a herramientas (o llamada a funciones) es una capacidad que permite a los LLM interactuar con sistemas externos, API y bases de datos, lo que les permite aumentar sus capacidades o recuperar datos en tiempo real.
«Las capacidades de llamada de herramientas alteran fundamentalmente el modelo de amenaza. Un punto final de generación de texto puede producir contenido dañino, pero un punto final habilitado para herramientas puede ejecutar operaciones privilegiadas», señalaron los investigadores. «Cuando se combina con una autenticación insuficiente y una exposición de la red, esto crea lo que evaluamos como el riesgo de mayor gravedad en el ecosistema».
El análisis también ha identificado hosts que admiten diversas modalidades que van más allá del texto, incluidas capacidades de razonamiento y visión, con 201 hosts que ejecutan plantillas de mensajes sin censura que eliminan las barreras de seguridad.
La naturaleza expuesta de estos sistemas significa que podrían ser susceptibles al secuestro de LLM, donde los malos actores abusan de los recursos de infraestructura de LLM de una víctima para su beneficio, mientras que la víctima paga la factura. Estos podrían ir desde generar correos electrónicos no deseados y campañas de desinformación hasta minar criptomonedas e incluso revender el acceso a otros grupos criminales.
El riesgo no es teórico. Según un informe publicado por Pillar Security esta semana, los actores de amenazas están apuntando activamente a los puntos finales de servicio LLM expuestos para monetizar el acceso a la infraestructura de inteligencia artificial como parte de una campaña de secuestro de LLM denominada Operación Bizarre Bazaar.
Los hallazgos apuntan a un servicio criminal que contiene tres componentes: escanear sistemáticamente Internet en busca de instancias expuestas de Ollama, servidores vLLM y API compatibles con OpenAI que se ejecutan sin autenticación, validar los puntos finales evaluando la calidad de la respuesta y comercializar el acceso a tarifas reducidas anunciándolo en silver(.)inc, que opera como un portal API unificado de LLM.
«Esta operación de extremo a extremo, desde el reconocimiento hasta la reventa comercial, representa el primer mercado de LLMjacking documentado con atribución completa», dijeron los investigadores Eilon Cohen y Ariel Fogel. La operación se remonta a un actor de amenazas llamado Hecker (también conocido como Sakuya y LiveGamer101).
La naturaleza descentralizada del ecosistema expuesto de Ollama, que se extiende a través de entornos residenciales y de nube, crea brechas de gobernanza, sin mencionar que crea nuevas vías para inyecciones rápidas y transferencia de tráfico malicioso a través de la infraestructura de la víctima.
«La naturaleza residencial de gran parte de la infraestructura complica la gobernanza tradicional y requiere nuevos enfoques que distingan entre implementaciones de nube gestionadas e infraestructura de borde distribuida», dijeron las empresas. «Para los defensores, la conclusión clave es que los LLM se implementan cada vez más en el borde para traducir instrucciones en acciones. Como tales, deben ser tratados con la misma autenticación, monitoreo y controles de red que otras infraestructuras accesibles externamente».