文章总结： 该报告由南开大学AOSP实验室等发布，监测显示Ollama公网暴露规模持续增长，节点高流动性与生态复杂度显著上升。地理分布高度集中，基础设施云化明显。安全治理方面存在TLS验证通过率低、弱签名算法及证书过期等隐患。建议建立长期风险跟踪机制，持续加固大模型服务安全。 综合评分： 85 文章分类： AI安全,威胁情报,网络安全,安全建设

《Ollama网络安全态势监测2025年度报告》预览版

奇安信技术研究院

2026年2月26日 16:49 北京

以下文章来源于AOSP实验室 ，作者AOSP实验室

AOSP实验室 .

南开大学AOSP实验室，聚焦多元化安全与隐私研究，涵盖网络安全、Web安全、大模型安全及新兴安全风险等方向，致力于提升网络技术与大模型融合场景下的整体安全性，并通过原创性研究成果持续服务与支撑安全社区发展。

2025年2月14日，南开大学AOSP实验室首次向国家有关部门披露公网暴露的Ollama服务（默认端口11434）存在未授权访问风险，并推动安全预警发布。此后，基于自主研发的XMap全网扫描器，我们开展了为期一年的持续监测，对Ollama公网暴露规模、生态演化与基础设施安全状况进行系统观测与分析。

在南开大学、奇安信技术研究院与清华大学研究团队的共同研究下，最终形成《Ollama网络安全态势监测2025年度报告》。综合分析表明：Ollama 公网暴露规模仍处于增长阶段，生态复杂度持续上升，节点流动性显著增强，整体基础设施呈现高度云化特征，同时 TLS 配置与安全治理水平仍存在进一步优化空间。

值此漏洞披露一周年之际，现发布报告预览版，以期推动相关服务安全加固，并促进大模型与网络安全交叉领域的研究发展。

──────✧ ✧ ✧──────

0x00年度速览

▸ 年度关键观察

从全年观测结果看，公网暴露生态呈现出“规模增长与结构分化并行”的演化态势。活跃暴露节点由10,473增至16,059（+53.34%），累计暴露规模达到152,137；日唯一模型数量由1,797 上升至5,643（+214.02%），日唯一版本由112增至182（+62.50%），表明生态复杂度持续提升。

在结构层面，头部模型家族仍保持较高集中度，其中 llama 家族占全年模型事件的46.34%，前五大模型家族合计占比达82.47%；与此同时，模型与版本维度的长尾分布持续扩展，显示生态多样性不断增强。节点侧呈现显著高流动性特征：IP 活跃天数中位数仅为5天，26.44% 的 IP 仅出现 1 天，但同时存在少量长期稳定的核心节点（最长活跃358天，共 3 个 IP 达到该寿命）。

从地域与网络归属看，CN 与 US 合计占加权暴露规模的50.75%，前三国家/地区占比59.80%，整体集中趋势明显。证书侧观测显示自动化部署已较为普遍，但 TLS 验证通过率仅为52.54%，过期证书占比9.88%，且仍检测md5WithRSA与sha1WithRSA等弱签名算法，反映出基础安全治理水平仍存在明显改进空间。

探测链路在少数日期出现网络波动或采集异常，导致局部漏探或解析失败，表现为指标短时突降。缺失日为2025-02-15、2025-05-08、2025-09-27；波动窗口为2025-02-20、2025-04-10~2025-04-13、2025-04-19~2025-04-23、2026-02-11。

──────✧ ✧ ✧──────

0x01规模与趋势

从全年运行态势看，公网暴露规模整体保持高位波动，平均日活跃暴露约为13,254，中位数约为13,160，显示生态规模在全年维持相对稳定水平。从季度变化看，2025年 Q2与 Q3阶段性回落，而在2025年 Q4至2026年 Q1再次出现明显回升，反映出暴露活动具有周期性调整与阶段性扩张特征。

全年累计暴露 IP 达152,137，净增长规模为+141,664，累计暴露与当前活跃暴露比值约为9.47。该指标表明，“历史曾暴露”节点数量远高于持续在线节点规模，生态呈现显著的高更替与高流动特征。

──────✦ ✦ ✦──────

0x02生态结构

全年模型与版本生态呈现出“规模扩张与结构重排并行”的演进特征。观测期内，日唯一模型峰值达到5,654（2026-02-06），日唯一版本峰值达到182（2026-02-13）。按完整月度对比，模型规模由2025-02的4,969增至2026-01的8,379（+68.63%），版本数量由119增至195（+63.87%），表明生态复杂度持续上升。

0x02-1全周期事件（2025-02-14至2026-02-13）：

📎 口径说明

定义“全周期事件”为：某模型或版本在单日出现在100个活跃节点 IP 上记为100，并对全年逐日累加形成事件总量。

统计结果显示，Top1模型为 smollm2:135m（1,490,205，占7.98%），Top1家族为 llama（8,654,881，占46.34%），Top1版本为 0.1.33（287,829，占6.54%）。Top5占比方面，模型为22.33%、家族为82.47%、版本为24.64%，反映出家族层面高度集中，而模型与版本层面仍保持显著长尾结构。

从月度主导项演化看，第一模型经历 deepseek-r1:1.5b → hermes3:8b → smollm2:135m 的阶段性切换，其中后者自2025-04起长期占据主导地位；版本主线则由 0.5.x 逐步演进至 0.13.x，并在2026-02-13日维度首次出现 0.15.x 头部版本，显示版本迭代节奏仍在加快。

0x02-2最近日快照（2026-02-13）

截至2026-02-13，当日活跃 IP 为16,059，模型数5,643，版本数182。模型前五分别为 smollm2:135m（9.07%）、deepseek-v3.1:671b-cloud（7.47%）、nomic-embed-text:latest（2.99%）、deepseek-r1:1.5b（2.98%）与 mistral:latest（2.91%）；版本前五为 0.15.6（11.51%）、0.13.5（9.37%）、0.1.33（8.72%）、0.15.2（4.49%）与 0.15.4（4.49%）。

当日活跃 IP 年龄中位数为77天，其中7天内节点占比14.59%，90天以上占比46.37%。短周期波动节点与长期稳定节点同时存在，成为当前暴露生态的典型运行形态。

──────✧ ✧ ✧──────

0x03存活周期

存活周期分析表明，IP 极易更替，模型中等稳定，版本最稳定。这一结果与“节点弹性调度与迁移频繁、软件升级节奏慢于节点更替”的运行规律相一致。全年最长存活记录分别为：IP358天（3个节点）、模型 deepseek-r1:latest 355天、版本 0.1.33 持续348天。

──────✦ ✦ ✦──────

0x04地理分布

全年观测覆盖158个国家和地区，前四依次为 CN（29.09%）、US（21.65%）、DE（9.06%）与 FR（7.43%）。其中 CN 与 US 合计占50.75%，前三占59.80%，前五占70.06%。整体呈现“全球分布广泛、核心承载区域高度集中”的特征。

──────✧ ✧ ✧──────

0x05 TLS 证书

观测发现，部分暴露IP通过443端口反向代理或网关对外提供访问。通过对TLS证书生态分析，共有24,524个暴露 IP 配置证书，其中 SSL 验证通过率为52.54%，证书过期率为9.88%。

证书生态中，Let’s Encrypt 占比45.67%，其后为 DigiCert、TrustAsia、ZeroSSL 与 Sectigo。签名算法以 sha256WithRSA（69.43%）与 ecdsa-with-SHA384（25.63%）为主，但仍存在 md5WithRSA（2.39%）及少量 sha1WithRSA。密钥长度以2048位（68.00%）为主，另有部分4096位及少量1024位证书。总体来看，TLS部署已具规模，但仍有一定比例节点未达到当前安全基线。

──────✦ ✦ ✦──────

0x06预览总结

🔖 治理建议

综合全年监测结果，公网暴露的 Ollama 生态正在加速扩张，并呈现出“规模增长、结构重组、节点高流动、基础设施集中化”的复合态势。对治理而言，这意味着既要持续关注短周期暴露波动，也要建立面向长期演进的版本与证书风险跟踪机制。

本文为年度报告预览版。详细内容请参见南开大学 AOSP 实验室《Ollama 网络安全态势监测2025年度报告》白皮书（待发布，如有需求可留言公众号）。

编辑：许祖耀 仇渝淇

排版：许祖耀

审核：李想 常得量

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：奇安信技术研究院 《《Ollama网络安全态势监测2025年度报告》预览版》