SentinelOneとCensysは、175,000台の公開されたOllamaホストにまたがるAIインフラを特定した。これらは、プロバイダーが通常実装するガードレールや監視なしに運用されていた。
293日間の調査で、セキュリティ企業は130か国と4,032の自律システム番号(ASN)に分散する723万件の観測を行い、その活動の大半は23,000台のホストが占めていた。
特定されたホストのおよそ半数は、コード実行、APIへのアクセス、外部システムとの連携が可能だったと、SentinelOneは述べている。
同社は、観測された活動の大半は少数の一時的なホストによるものだったと説明する。具体的には、ホストの13%が100回を超える観測に登場し(活動の約76%を生成していた)。
「逆に、ちょうど1回だけ観測されたホストはユニークホストの36%を占めるが、総観測数への寄与は1%未満だ」とSentinelOneは指摘する。
観測に継続的に現れたホストは、「運用者に継続的な有用性を提供し、ひいては攻撃者にとって最も魅力的でアクセスしやすい標的となる」とSentinelOneは述べている。
インフラの分布を見ると、同社はホストの56%が固定アクセスの通信ネットワーク(消費者向けISPを含む)上で見つかったと指摘している。
地理的分布では、中国が約30%でホストの大半を占め、次いで米国が20%強だった。米国ではバージニア州がホストの18%を占めていた。
観測された挙動はマルチモデルの展開を示唆していたものの、最も普及していたのはLlamaのAIモデルで、次いでQwen2、Gemma2、Qwen3、Nomic-BertだったとSentinelOneは述べている。
同社はまた、少なくとも201台のホストが、安全ガードレールを明示的に解除するプロンプトテンプレートを実行していることも発見した。
公開されたホストは、認可、監視、課金管理なしにアクセス可能であり、攻撃者にとって限界費用ゼロで悪意ある目的に悪用され得るとSentinelOneは述べている。
「被害者が電気代とインフラ費用を負担する一方で、攻撃者は生成された出力を受け取る。スパム生成、フィッシングコンテンツ作成、偽情報キャンペーンのように量が必要な作戦にとって、これは大きな運用上の優位性となる」とSentinelOneは指摘する。
同時に、これらの無防備なモデルはプロンプトインジェクションによっても悪用され得る。認証や安全機構が欠如しているため、情報取得に関してAIが攻撃者の要求に従ってしまうからだ。
住宅回線や通信ネットワーク上のホストは悪性トラフィックのロンダリングに悪用され得る一方、視覚機能を備えたホストは、画像を介した間接的なプロンプトインジェクションにより大規模に悪用される可能性がある。
「公開されたOllamaのエコシステムは、私たちの評価では、パブリックな計算基盤の初期形成を示している。すなわち、広く分散し、管理が不均一で、帰属が部分的にしかできないAIインフラの層であり、しかし特定の階層や場所では十分に持続しており、測定可能な現象を構成している」とSentinelOneは指摘する。
Pillar Securityの最新レポートは、脅威アクターがOperation Bizarre Bazaarの一環として30以上のLLMを乗っ取り、収益化していたことを示した。
翻訳元: https://www.securityweek.com/175000-exposed-ollama-hosts-could-enable-llm-abuse/
