Una nueva investigación conjunta de SentinelOne SentinelLabs y Censys ha revelado que el despliegue de inteligencia artificial (IA) de código abierto ha creado una vasta «capa de infraestructura informática de IA no gestionada y de acceso público» que abarca 175 000 servidores únicos de Ollama en 130 países.
Estos sistemas, que abarcan redes residenciales y en la nube en todo el mundo, funcionan fuera de las barandillas y los sistemas de monitoreo que los proveedores de plataformas implementan de forma predeterminada, dijo la compañía. La gran mayoría de las exposiciones se encuentran en China, y representan poco más del 30%. Los países con la mayor presencia de infraestructura incluyen EE. UU., Alemania, Francia, Corea del Sur, India, Rusia, Singapur, Brasil y el Reino Unido.
«Casi la mitad de los hosts observados están configurados con capacidades de llamada de herramientas que les permiten ejecutar código, acceder a las API e interactuar con sistemas externos, lo que demuestra la creciente implementación de LLM en procesos de sistemas más grandes», afirman los investigadores Gabriel Bernadett-Shapiro y Silas Cutler adicional .
Ollama es un marco de código abierto que permite a los usuarios descargar, ejecutar y administrar fácilmente modelos de grandes lenguajes (LLM) de forma local en Windows, macOS y Linux. Si bien el servicio se vincula a la dirección localhost 127.0.0 [.] 1:11434 de forma predeterminada, es posible exponerlo a la Internet pública mediante un cambio trivial: configurarlo para que se enlace a la 0.0.0 [.] 0 o a una interfaz pública.
El hecho de que Ollama, al igual que el recientemente popular Moltbot (anteriormente Clawdbot), se aloja localmente y opera fuera del perímetro de seguridad empresarial, lo que plantea nuevos problemas de seguridad. Según los investigadores, esto, a su vez, requiere nuevos enfoques para distinguir entre la computación de IA gestionada y la no gestionada.
De los anfitriones observados, más del 48% anuncia capacidades de llamada de herramientas a través de sus terminales de API que, cuando se consultan, devuelven metadatos que destacan las funcionalidades que admiten. La llamada a herramientas (o llamada a funciones) es una capacidad que permite a los LLM interactuar con sistemas, API y bases de datos externos, lo que les permite aumentar sus capacidades o recuperar datos en tiempo real.
«Las capacidades de uso de herramientas alteran de manera fundamental el modelo de amenazas. Un punto final de generación de texto puede producir contenido dañino, pero un punto final con herramientas puede ejecutar operaciones privilegiadas», señalaron los investigadores. «Cuando se combina con una autenticación y una exposición de la red insuficientes, esto crea lo que, en nuestra opinión, es el riesgo de mayor gravedad del ecosistema».
El análisis también ha identificado que los anfitriones admiten diversas modalidades que van más allá del texto, incluidas las capacidades de razonamiento y visión, y 201 anfitriones utilizan plantillas de mensajes sin censura que eliminan las barreras de seguridad.
La naturaleza expuesta de estos sistemas significa que podrían ser susceptibles a Hackeo de LLM , donde los malos actores abusan de los recursos de infraestructura de LLM de la víctima en su beneficio, mientras la víctima paga la factura. Estas pueden ir desde la generación de correos electrónicos no deseados y campañas de desinformación hasta la minería de criptomonedas e incluso la reventa del acceso a otros grupos delictivos.
El riesgo no es teórico. Según un informe publicado por Pillar Security esta semana, los actores de amenazas están atacando activamente los terminales de los servicios de LLM expuestos para monetizar el acceso a la infraestructura de IA como parte de una campaña de hackeo de LLM doblado Operación Bizarre Bazaar.
Los hallazgos apuntan a un servicio criminal que contiene tres componentes: escanear sistemáticamente Internet en busca de instancias de Ollama expuestas, servidores vLLM y API compatibles con OpenAI que se ejecutan sin autenticación, validar los puntos finales mediante la evaluación de la calidad de la respuesta y comercializar el acceso a precios reducidos anunciándolo en silver [.] inc, que funciona como una puerta de enlace de API de LLM unificada.
«Esta operación integral, desde el reconocimiento hasta la reventa comercial, representa el primer mercado documentado de LLMhacking con atribución completa», dijeron los investigadores Eilon Cohen y Ariel Fogel. La operación ha sido rastreada hasta un actor de amenazas llamado Hecker (también conocido como Sakuya y LiveGamer101).
La naturaleza descentralizada del ecosistema expuesto de Ollama, que se extiende por entornos residenciales y de nube, crea brechas de gobernanza, sin mencionar que crea nuevas vías para inyectar rápidamente y redirigir el tráfico malintencionado a través de la infraestructura de las víctimas.
«La naturaleza residencial de gran parte de la infraestructura complica la gobernanza tradicional y requiere nuevos enfoques que distingan entre las implementaciones de nube gestionadas y la infraestructura perimetral distribuida», afirman las empresas. «Para los defensores, la conclusión clave es que los LLM se despliegan cada vez más al límite para traducir las instrucciones en acciones. Por ello, deben tratarse con los mismos controles de autenticación, supervisión y red que cualquier otra infraestructura accesible desde el exterior».
Post generado automáticamente, fuente oficial de la información: THEHACKERNEWS