世界130カ国にまたがり、17万5,000台のOllama AIサーバーがインターネット上に公開された巨大なグローバルネットワークが存在し、重大なリモートコード実行リスクをもたらしている。
主要なプラットフォーム提供者がデフォルトで実装しているセキュリティのガードレールや監視システムなしに稼働する、管理されていないAI計算インフラ層。
293日間のスキャン期間にわたり、研究者は130カ国・4,032の自律システム番号にまたがるユニークなOllamaホストから、723万件の観測結果を特定した。
インフラ分析により、約2万3,000台のホストからなる恒常的な中核が活動の大半を生み出している一方で、より大きな一時的ホスト層が短期間だけ出現しては消えることが明らかになった。
観測されたホストのほぼ半数は、コード実行、APIアクセス、外部システムとの連携を可能にするツール呼び出し機能を有効化する設定になっている。
この設定は、単純なテキスト生成を超えて脅威モデルを根本的に変える。
ツール対応エンドポイントは特権操作を実行でき、これが不十分な認証とネットワーク露出と組み合わさることで、研究者がエコシステム内で最も深刻度の高いリスクと評価する状況を生み出す。
分析では、安全ガードレールを明示的に取り除く標準化された無検閲プロンプトテンプレートを実行しているホストが201台特定された。
さらに、ホストの22%がビジョン機能をサポートしており、画像理解やベクトル生成を可能にすることで、悪意ある画像や文書を介した間接的なプロンプトインジェクション攻撃を実現する。
露出したインフラは世界中のクラウドと住宅回線ネットワークの双方にまたがっており、AI計算がどこに存在するかという従来の前提に挑戦している。
一般消費者向けISPを含む固定アクセスの通信ネットワークがホスト数ベースで56%を占め、ハイパースケーラーはインフラの32%を占める。
この混在環境は、集中管理された制御点を前提とする従来のガバナンス手法を複雑にする。
データから地理的な集中パターンが浮かび上がった。米国ではバージニア州がホストの18%を占め、US-EAST地域におけるクラウドインフラ密度を反映している。
中国ではさらに集中が強く、北京がホストの30%を占め、上海と広東を合わせて追加で21%を占める。
ホスト配置は分散しているにもかかわらず、モデル採用は驚くほど集中している。
複数の重み付け方式にわたって、同じ3つのモデルファミリーが一貫して上位を占める。1位がLlama、2位がQwen2、3位がGemma2である。
この安定性は、断片化した展開パターンではなく、共有されたモデル系統が広範かつ反復的に利用されていることを示している。
ハードウェア制約により、特定の量子化フォーマットへの収束が進む。Q4_K_Mフォーマットはホストの48%に見られ、観測された量子化全体のうち4ビット形式が72%を占めるのに対し、16ビット形式はわずか19%にとどまる。
このエコシステム全体の収束は可搬性と脆弱性の両方を生み、特定の量子化モデルがトークンを処理する方法に脆弱性がある場合、露出したエコシステムの相当部分が同時に影響を受け得る。
犯罪組織や国家支援の攻撃者は、これらのシステムを限界費用ゼロでスパムキャンペーン、フィッシング、または偽情報ネットワークに悪用し得る。
ビジョン機能が存在する場合、悪意ある画像を介した間接的プロンプトインジェクションにより、トラフィックが正当な住宅用IPから発信されているように見える高度な攻撃が可能となり、標準的なボット管理防御を回避できる。
インフラの多くが住宅回線であるという性質は、従来のガバナンス手法を複雑にし、管理されたクラウド展開と分散したエッジインフラを区別する新たな仕組みを必要とする。
効果的なインシデント対応は明確な帰属と集中管理された制御点に依存するが、家庭内ネットワーク上で稼働するOllamaインスタンスは
敵対者からはアクセス可能である一方、契約上または法的権限を欠くセキュリティチームからは到達不能なままである可能性がある。
エッジに展開されるLLMは、外部からアクセス可能な他のインフラと同等の水準で、認証、監視、ネットワーク制御を適用して扱わなければならないことを強調する。
翻訳元: https://cyberpress.org/175k-exposed-ollama-hosts-allow-remote-code-execution/