据国际安全厂商统计，近一年全球17.5万台Ollama主机在公网暴露过，其中2.3万台长期在线，许多都满足可公网访问、无鉴权、长期在线的条件，部分甚至支持工具调用、RAG、图片识别等能力，可随时被攻击者滥用成为“肉鸡”；

据悉，这17.5万台暴露主机中，中国约三成占比第一，美国、德国等紧随其后。

安全厂商SentinelOne和Censys发现，一个覆盖17.5万台暴露Ollama主机的AI基础设施正在运行，而这些主机普遍缺乏服务提供商通常部署的安全防护机制和监控措施。

全球17.5万台Ollama主机暴露过，

其中2.3万台长期在线

在为期293天的研究期间，两家安全公司对130个国家和4032个网络自治系统（AS）累计进行了723万次观测，结果显示，总计发现的17.5万台暴露Ollama主机中，大部分活动来源于2.3万台主机。

SentinelOne表示，大约一半被识别的主机具备执行代码、访问API并与外部系统交互的能力。

这家网络安全公司解释称，少量短暂存在的主机却贡献了所观察到的大部分活动。具体来看，13%的主机在100次以上的观测中出现，却几乎产生了76%的活动量。

SentinelOne指出：“相对而言，仅被观测到1次的主机占独立主机总数的36%，但对总观测量的贡献不足1%。”

SentinelOne表示，那些在观测中持续出现的主机“能够为其运营者持续提供效用，因此对对手而言，是最具吸引力、也最容易接近的目标”。

从基础设施分布来看，这家网络安全公司指出，56%的主机位于固定接入的电信网络中，其中包括消费级互联网运营商。

在地理分布方面，中国的主机数量占比最高，约为30%，其次是美国，略高于20%。在美国境内，弗吉尼亚州的主机数量占美国主机总数的18%。

SentinelOne表示，尽管观测到的行为显示存在多模型部署，但Llama AI模型最为常见，其次依次为Qwen2、Gemma2、Qwen3和Nomic-Bert。

这家网络安全公司还发现，至少有201台主机正在运行明确移除了安全防护机制的提示模板。

新一代AI“肉鸡”网络正在成形

SentinelOne表示，这些暴露的主机在无需授权、监控或计费控制的情况下即可被访问，并且攻击者能够以零边际成本对其进行恶意滥用。

SentinelOne指出：“受害者承担了电力账单和基础设施成本，而攻击者却直接获得生成的输出。对于需要规模化运作的场景，例如垃圾信息生成、钓鱼内容制作或虚假信息宣传活动而言，这构成了显著的运营优势。”

与此同时，这些缺乏防护的模型还可能通过提示注入方式被滥用。由于缺乏身份验证和安全机制，在信息检索过程中，AI会顺从攻击者的请求。

位于住宅和电信网络中的主机可能被用于清洗恶意流量，而具备视觉能力的主机则可能通过图像实现间接提示注入，并被进一步规模化利用。

SentinelOne指出：“据我们评估，暴露的Ollama生态系统代表了一种公共计算基底的早期形态：这是一层分布广泛、管理不均、仅部分可归属的AI基础设施，但在特定层级和地点上又具备足够的持久性，从而形成一种可被衡量的现象。”

Pillar Security发布的一份最新报告展示了一名威胁行为者如何在“奇异集市行动”（Operation Bizarre Bazaar）中劫持30多个大模型，并利用它们完成变现。

注：奇安信客户如有兴趣，可联系对口销售，免费获取进一步的分析报告，如原厂商报告全文等。

参考资料：securityweek.com

文章来源 ：安全内参