Uma investigação conjunta realizada pela SentinelOne SentinelLABS e Censys revelou que a adoção de inteligência artificial (IA) open-source criou uma ampla "camada não gerenciada e publicamente acessível" de infraestrutura computacional para IA.
Essa rede abrange 175 mil hosts únicos do Ollama distribuídos em 130 países.
Os sistemas estão espalhados entre redes em nuvem e residenciais ao redor do mundo.
De acordo com as empresas, eles funcionam fora dos controles e monitoramentos padrão adotados pelos provedores das plataformas.
A maior concentração está na China, com pouco mais de 30% dos hosts.
Entre os países com maior presença dessa infraestrutura estão Estados Unidos, Alemanha, França, Coreia do Sul, Índia, Rússia, Singapura, Brasil e Reino Unido.
Segundo os pesquisadores Gabriel Bernadett-Shapiro e Silas Cutler, quase metade dos hosts analisados conta com capacidades de tool-calling, que permitem a execução de código, acesso a APIs e interação com sistemas externos.
Isso evidencia a crescente integração dos modelos de linguagem de grande escala (LLMs) com processos mais amplos de sistemas.
Ollama é um framework open-source que possibilita aos usuários baixar, executar e gerenciar LLMs localmente em Windows, macOS e Linux.
Embora o serviço esteja restrito por padrão ao endereço local 127.0.0.1:11434, ele pode ser exposto à internet pública com uma simples reconfiguração, alterando o binding para 0.0.0.0 ou outra interface pública.
Assim como o Moltbot (antigo Clawdbot), que ganhou popularidade recentemente, o Ollama é hospedado localmente e opera fora do perímetro tradicional de segurança das empresas, o que gera preocupações adicionais.
Os pesquisadores alertam para a necessidade de novas abordagens capazes de diferenciar infraestrutura de IA gerenciada da não gerenciada.
Mais de 48% dos hosts analisados anunciam, por meio de endpoints de API, funcionalidades de tool-calling, que, quando consultadas, retornam metadados sobre os recursos disponíveis.
Essa funcionalidade permite que os LLMs interajam com sistemas externos, APIs e bancos de dados, ampliando suas capacidades e acessando dados em tempo real.
“Capacidades de tool-calling mudam fundamentalmente o modelo de ameaça.
Um endpoint de geração de texto pode criar conteúdo prejudicial, mas um endpoint com tool-calling pode executar operações privilegiadas”, ressaltam os pesquisadores.
Eles acrescentam que, combinadas à autenticação insuficiente e à exposição na rede, essas características representam o risco mais grave identificado no ecossistema.
A análise também detectou hosts que suportam modalidades além do texto, como raciocínio avançado e visão computacional.
Foram encontrados 201 hosts com templates de prompt desprovidos de censura, que removem as proteções de segurança.
Devido a essa exposição, esses sistemas ficam vulneráveis a ataques de LLMjacking — quando criminosos exploram a infraestrutura de LLM de uma vítima para fins ilícitos, enquanto esta arca com os custos.
Essa exploração pode abranger desde o disparo de spam e campanhas de desinformação até mineração de criptomoedas e revenda de acesso para outros grupos criminosos.
Esse risco não é apenas teórico.
Segundo um relatório recente da Pillar Security, agentes maliciosos vêm atacando endpoints de serviços LLM expostos para monetizar seu acesso à infraestrutura, em uma campanha chamada Operation Bizarre Bazaar.
A investigação identificou um serviço criminoso estruturado em três etapas: varredura sistemática da internet para localizar instâncias expostas de Ollama, servidores vLLM e APIs compatíveis com OpenAI sem autenticação; validação desses endpoints por meio da avaliação da qualidade das respostas; e comercialização do acesso a preços reduzidos pelo site silver.inc, que funciona como um Unified LLM API Gateway.
“Essa operação completa — desde a coleta de informações até a revenda comercial — é o primeiro marketplace documentado de LLMjacking, com atribuição completa”, afirmam os pesquisadores Eilon Cohen e Ariel Fogel.
O responsável pela operação foi identificado como um threat actor conhecido como Hecker (também chamado Sakuya e LiveGamer101).
A natureza descentralizada do ecossistema Ollama, distribuído entre nuvens e redes residenciais, gera lacunas de governança e abre caminho para a injeção de prompts maliciosos e tráfego proxyado passando pela infraestrutura das vítimas.
“As redes residenciais dificultam as abordagens tradicionais de governança e exigem estratégias que diferenciem implantações gerenciadas na nuvem de infraestruturas distribuídas na borda”, afirmam as empresas.
“Para os defensores, o essencial é compreender que os LLMs estão cada vez mais sendo implantados na borda para traduzir instruções em ações.
Por isso, devem receber o mesmo nível de autenticação, monitoramento e controles de rede aplicados a outras infraestruturas acessíveis externamente.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...