Cisco通过Shodan搜索引擎搭配自制Python工具,检测到1,139台Ollama服务器对外开放,其中214台能在无任何认证下回应请求并执行模型推论,约占18.8%。不少企业与个人部署大型语言模型(LLM)时忽视访问控制与网络隔离,形成可被滥用的攻击面。
Shodan是一个专门索引网际网络上公开连接设备与服务的搜索引擎,能发现对外开放的端口号与服务器横幅资讯(Banner Information),经常被研究人员用来盘点外曝系统。Ollama则是一套能在本地端执行大型语言模型的热门开源框架,可方便开发者下载与操作各式模型,并支持OpenAI兼容的API界面,默认运行于11434连接端口。
研究人员采取被动式检测,以降低触发入侵侦测或侵犯使用政策的风险。第一阶段使用Shodan查询,锁定Ollama常见的11434端口号与服务横幅,再结合关键字比对,研究人员发现,许多实例在HTTP标头中显示Server为Uvicorn,这一举标被用来强化指纹识别。第二阶段,研究团队以极简测试,请求验证服务器是否要求认证,当服务器回应HTTP 200并正确回复测试结果,表示可在未经认证下接受并执行模型推论请求,安全风险极高。
结果显示,这些外曝服务器分布广泛,美国占36.6%,中国占22.5%,德国占8.9%,其中约8成虽未加载模型,但仍能对外置受连接,潜在风险包括被未授权上传模型、配置修改或进行资源耗竭攻击。另一项值得注意的是,88.89%端点使用OpenAI兼容路径,如v1/chat/completions,而这样的标准化虽有利于应用集成,但也使攻击者能快速横向滥用不同平台。
外曝的大语言模型服务器可能遭遇多种攻击,包括未授权API使用、模型抽取、提示词注入产生不当内容、资源劫持导致成本上升,甚至通过模型上传机制注入后门。对于目前尚未激活模型的服务器,攻击者同样能利用其开放端点进行破坏或滥用。
研究人员建议企业采取分层式防护措施。首先,必须强制激活API密钥或OAuth2认证,并搭配角色导向访问控制(RBAC)。其次,应将服务器部署于私有子网,并通过VPN或防火墙限制来源。对于API流量,需导入速率限制、异常行为侦测与审核记录保存。
同时,也建议调整默认端口号并隐藏服务横幅,以降低识别风险。针对模型上传功能,应加入签章或散列验证,避免恶意文件被植入,最后,企业应通过Shodan或自动化工具持续检测与审核暴露端点,确保服务不会意外对外公开。
