文章总结： 安全研究人员发现全球130个国家存在约17.5万个公开暴露的OllamaAI服务器，其中超30%位于中国。近半数主机配置了工具调用功能可执行代码和访问API，部分甚至运行未经审查的模型。这些暴露的LLM基础设施面临被劫持风险，已被名为OperationBizarreBazaar的犯罪活动利用进行加密货币挖矿、垃圾邮件发送等恶意行为。专家建议对这些边缘部署的AI服务实施严格的身份验证和网络访问控制。 综合评分： 82 文章分类： AI安全,威胁情报,漏洞分析,安全建设,漏洞预警

研究人员在130个国家发现了17.5万个公开暴露的Ollama AI服务器

Rhinoer Rhinoer

犀牛安全

2026年2月9日 00:01 北京

SentinelOne SentinelLABS 和 Censys 的一项新的联合调查显示，开源人工智能 (AI) 的部署创建了一个庞大的“不受管理、可公开访问的 AI 计算基础设施层”，该基础设施覆盖 130 个国家/地区的 175,000 个独特的 Ollama 主机。

该公司表示，这些系统遍布全球的云端和住宅网络，运行不受平台提供商默认部署的防护措施和监控系统的约束。绝大多数风险敞口位于中国，占比略高于30%。基础设施覆盖范围最广的国家包括美国、德国、法国、韩国、印度、俄罗斯、新加坡、巴西和英国。

研究人员 Gabriel Bernadett-Shapiro 和 Silas Cutler补充道： “近一半的观察主机配置了工具调用功能，使它们能够执行代码、访问 API 并与外部系统交互，这表明 LLM 越来越多地被应用到更大的系统进程中。”

Ollama 是一个开源框架，允许用户在 Windows、macOS 和 Linux 系统上轻松地下载、运行和管理大型语言模型 (LLM)。该服务默认绑定到本地主机地址 127.0.0[.]1:11434，但只需进行一个简单的更改即可将其暴露给公共互联网：将其配置为绑定到 0.0.0[.]0 或公共接口。

与近期流行的Moltbot （原名 Clawdbot）一样，Ollama也部署在本地，并在企业安全边界之外运行，这带来了新的安全隐患。研究人员表示，这反过来又需要新的方法来区分托管式和非托管式 AI 计算。

在观察到的主机中，超过 48% 通过其 API 端点宣传其工具调用能力。当查询这些端点时，会返回突出显示其支持功能的元数据。工具调用（或函数调用）是一种允许 LLM 与外部系统、API 和数据库交互的功能，使其能够增强自身功能或检索实时数据。

研究人员指出：“工具调用能力从根本上改变了威胁模型。文本生成端点可以生成有害内容，但启用工具的端点可以执行特权操作。当这种能力与身份验证不足和网络暴露相结合时，就会造成我们认为生态系统中风险级别最高的威胁。”

分析还发现，一些主机支持除文本之外的各种模式，包括推理和视觉功能，其中 201 个主机运行未经审查的提示模板，取消了安全防护措施。

这些系统的暴露特性意味着它们可能容易受到LLM劫持攻击，即不法分子滥用受害者的LLM基础设施资源牟利，而受害者却要承担所有损失。这些攻击可能包括发送垃圾邮件和开展虚假信息宣传活动、进行加密货币挖矿，甚至将访问权限转售给其他犯罪团伙。

这种风险并非纸上谈兵。根据 Pillar Security 本周发布的一份报告，威胁行为者正积极攻击暴露的 LLM 服务端点，以通过名为“奇异集市行动”（Operation Bizarre Bazaar）的 LLM 劫持活动，将对 AI 基础设施的访问权限货币化。

研究结果表明，该犯罪服务包含三个组成部分：系统地扫描互联网，查找暴露的 Ollama 实例、vLLM 服务器和未经身份验证运行的 OpenAI 兼容 API；通过评估响应质量来验证端点；并通过在 silver[.]inc 上宣传以折扣价出售访问权限，silver[.]inc 是一家作为统一 LLM API 网关的公司。

研究人员埃隆·科恩和阿里尔·福格尔表示：“这项从侦察到商业转售的全程行动，是首个有据可查且溯源完整的LLM劫持市场案例。” 该行动已被追溯到名为Hecker（又名Sakuya和LiveGamer101）的威胁行为者。

暴露的 Ollama 生态系统具有去中心化的特性，它分布在云端和住宅环境中，这造成了治理漏洞，更不用说还为通过受害者基础设施快速注入和代理恶意流量创造了新的途径。

“由于大部分基础设施都部署在本地，传统的治理方式变得复杂，需要采用新的方法来区分托管云部署和分布式边缘基础设施，”这些公司表示。“对于防御者而言，关键在于LLM（本地生命周期管理）越来越多地部署在边缘，以将指令转化为行动。因此，必须像对待其他外部可访问的基础设施一样，对它们进行身份验证、监控和网络控制。”

信息来源：BleepingComputer

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：犀牛安全 Rhinoer Rhinoer《研究人员在130个国家发现了17.5万个公开暴露的Ollama AI服务器》