Un nuevo estudio conjunto de SentinelOne SentinelLABS y Censys revela que el despliegue de inteligencia artificial (IA) de código abierto ha creado una vasta «capa de infraestructura informática de IA no administrada y de acceso público» que abarca 175.000 hosts únicos de Ollama en 130 países.
La compañía dice que estos sistemas abarcan redes residenciales y en la nube en todo el mundo y operan fuera de las barreras de seguridad y los sistemas de monitoreo que los proveedores de plataformas tienen implementados de manera predeterminada. La mayor parte de la exposición se encuentra en China, representando poco más del 30%. Los países con la mayor huella de infraestructura incluyen Estados Unidos, Alemania, Francia, Corea del Sur, India, Rusia, Singapur, Brasil y el Reino Unido.
Los investigadores Gabriel Bernadette Shapiro y Cyrus Cutler agregaron: «Casi la mitad de los hosts observados estaban configurados con capacidades de invocación de herramientas que les permiten ejecutar código, acceder a API e interactuar con sistemas externos, lo que indica la creciente implementación de LLM en procesos de sistemas grandes».
Ollama es un marco de código abierto que permite a los usuarios descargar, ejecutar y administrar fácilmente modelos de lenguaje a gran escala (LLM) localmente en Windows, macOS y Linux. De forma predeterminada, su servicio se vincula a la dirección de host local 127.0.0(.)1:11434, pero puede exponer su servicio a la Internet pública con un simple cambio configurándolo para que se vincule a 0.0.0(.)0 o la interfaz pública.
Al igual que el recientemente popular Moltbot (anteriormente Clawdbot), el hecho de que Ollama esté alojado localmente y opere fuera del perímetro de seguridad corporativo plantea nuevas preocupaciones de seguridad. Según los investigadores, esto requiere nuevos enfoques para distinguir entre la informática de IA gestionada y no gestionada.
Más del 48% de los hosts observados anuncian capacidades de invocación de herramientas a través de puntos finales API, que cuando se les consulta devuelven metadatos que destacan las capacidades que admiten. Las llamadas a herramientas (o llamadas a funciones) son características que permiten a LLM interactuar con sistemas externos, API y bases de datos para mejorar la funcionalidad de LLM y obtener datos en tiempo real.
«La capacidad de invocar herramientas cambia fundamentalmente el modelo de amenaza. Los puntos finales que generan texto pueden generar contenido dañino, mientras que los puntos finales habilitados para herramientas pueden realizar operaciones privilegiadas», señalaron los investigadores. «La combinación de autenticación insuficiente y exposición de la red crea lo que consideramos los riesgos más graves dentro del ecosistema».
El análisis también identificó hosts que admiten una variedad de modalidades más allá del texto, como capacidades de razonamiento y visión, con 201 hosts ejecutando plantillas de mensajes sin modificar que eliminan las barreras de seguridad.
Debido a la naturaleza expuesta de estos sistemas, pueden ser susceptibles al levantamiento del LLM. El secuestro de LLM significa que un atacante malicioso explota los recursos de infraestructura de LLM de una víctima a expensas de la víctima. Estos pueden ir desde la generación de correo electrónico no deseado y campañas de desinformación hasta la minería de criptomonedas e incluso la reventa del acceso a otros grupos criminales.
El riesgo no es teórico. Según un informe publicado esta semana por Pillar Security, los actores de amenazas están apuntando activamente a puntos finales de servicios LLM expuestos públicamente para monetizar el acceso a la infraestructura de inteligencia artificial como parte de una campaña de secuestro de LLM llamada Operation Bizarre Bazaar.
Los hallazgos apuntan a un servicio criminal que incluye tres componentes: escanear sistemáticamente Internet en busca de instancias de Ollama disponibles públicamente, servidores vLLM y API compatibles con OpenAI que se ejecuten sin autenticación, evaluar la calidad de la respuesta y validar los puntos finales, y comercializar el acceso a una tarifa con descuento mediante publicidad en silver(.)inc, que actúa como una puerta de enlace API unificada de LLM.
«Esta actividad de extremo a extremo, desde el reconocimiento hasta la reventa comercial, representa el primer mercado de jacking LLM documentado con atribución total», dijeron los investigadores Eilon Cohen y Ariel Vogel. Esta operación se ha atribuido a un actor de amenazas llamado Hecker (también conocido como Sakuya y LiveGamer101).
La naturaleza descentralizada del ecosistema Ollama expuesto, distribuido en entornos residenciales y de nube, crea brechas de gobernanza, sin mencionar nuevas vías para la inyección rápida y el proxy de tráfico malicioso a través de la infraestructura de la víctima.
«Gran parte de la infraestructura es residencial, lo que complica la gobernanza tradicional y requiere nuevos enfoques que distingan entre implementaciones de nube gestionadas e infraestructura de borde distribuida», dijeron las empresas. «Lo más importante para los defensores es que los LLM se implementan cada vez más en el borde para traducir instrucciones en acciones, por lo que deben tratarse con la misma autenticación, monitoreo y controles de red que cualquier otra infraestructura accesible externamente».
Source link
