Una nueva investigación conjunta de SentinelOne SentinelLABS y Censys ha revelado que la implementación de inteligencia industrial (IA) de código extenso ha creado una vasta “capa no administrada y de llegada manifiesto de infraestructura informática de IA” que albarca 175.000 hosts únicos de Ollama en 130 países.
Estos sistemas, que abarcan redes residenciales y en la estrato en todo el mundo, operan fuera de las barreras de seguridad y los sistemas de monitoreo que los proveedores de plataformas implementan de forma predeterminada, dijo la compañía. La gran mayoría de las exposiciones se encuentran en China, representando poco más del 30%. Los países con decano huella de infraestructura incluyen Estados Unidos, Alemania, Francia, Corea del Sur, India, Rusia, Singapur, Brasil y el Reino Unido.
“Casi la centro de los hosts observados están configurados con capacidades de convocatoria de herramientas que les permiten ejecutar código, alcanzar a API e interactuar con sistemas externos, lo que demuestra la creciente implementación de LLM en procesos de sistemas más grandes”, agregaron los investigadores Gabriel Bernadett-Shapiro y Silas Cutler.
Ollama es un ámbito de código extenso que permite a los usuarios descargar, ejecutar y cuidar fácilmente modelos de lenguajes grandes (LLM) localmente en Windows, macOS y Linux. Si proporcionadamente el servicio se vincula a la dirección de host nave en 127.0.0(.)1:11434 de forma predeterminada, es posible exponerlo a la Internet pública mediante un cambio trivial: configurarlo para que se vincule a 0.0.0(.)0 o una interfaz pública.
El hecho de que Ollama, al igual que el recientemente popular Moltbot (anteriormente Clawdbot), esté alojado localmente y opere fuera del perímetro de seguridad empresarial, plantea nuevas preocupaciones de seguridad. Esto, a su vez, requiere nuevos enfoques para distinguir entre computación de IA administrada y no administrada, dijeron los investigadores.
De los hosts observados, más del 48% anuncia capacidades de convocatoria de herramientas a través de sus puntos finales API que, cuando se les consulta, devuelven metadatos que destacan las funcionalidades que admiten. La convocatoria a herramientas (o convocatoria a funciones) es una capacidad que permite a los LLM interactuar con sistemas externos, API y bases de datos, lo que les permite aumentar sus capacidades o recuperar datos en tiempo existente.
“Las capacidades de convocatoria de herramientas alteran fundamentalmente el maniquí de amenaza. Un punto final de vivientes de texto puede producir contenido dañino, pero un punto final competente para herramientas puede ejecutar operaciones privilegiadas”, señalaron los investigadores. “Cuando se combina con una autenticación insuficiente y una exposición de la red, esto crea lo que evaluamos como el aventura de decano dificultad en el ecosistema”.
El disección igualmente ha identificado hosts que admiten diversas modalidades que van más allá del texto, incluidas capacidades de razonamiento y visión, con 201 hosts que ejecutan plantillas de mensajes sin censura que eliminan las barreras de seguridad.
La naturaleza expuesta de estos sistemas significa que podrían ser susceptibles al secuestro de LLM, donde los malos actores abusan de los posibles de infraestructura de LLM de una víctima para su beneficio, mientras que la víctima paga la confección. Estos podrían ir desde gestar correos electrónicos no deseados y campañas de desinformación hasta excavar criptomonedas e incluso revender el llegada a otros grupos criminales.
El aventura no es teórico. Según un crónica publicado por Pillar Security esta semana, los actores de amenazas están apuntando activamente a los puntos finales de servicio LLM expuestos para monetizar el llegada a la infraestructura de inteligencia industrial como parte de una campaña de secuestro de LLM denominada Operación Bizarre Bazaar.
Los hallazgos apuntan a un servicio criminal que contiene tres componentes: escanear sistemáticamente Internet en indagación de instancias expuestas de Ollama, servidores vLLM y API compatibles con OpenAI que se ejecutan sin autenticación, validar los puntos finales evaluando la calidad de la respuesta y comercializar el llegada a tarifas reducidas anunciándolo en silver(.)inc, que opera como un portal API unificado de LLM.
“Esta operación de extremo a extremo, desde el inspección hasta la reventa comercial, representa el primer mercado de LLMjacking documentado con atribución completa”, dijeron los investigadores Eilon Cohen y Ariel Fogel. La operación se remonta a un actor de amenazas llamado Hecker (igualmente conocido como Sakuya y LiveGamer101).
La naturaleza descentralizada del ecosistema expuesto de Ollama, que se extiende a través de entornos residenciales y de estrato, crea brechas de gobernanza, sin mencionar que crea nuevas vías para inyecciones rápidas y transferencia de tráfico ladino a través de la infraestructura de la víctima.
“La naturaleza residencial de gran parte de la infraestructura complica la gobernanza tradicional y requiere nuevos enfoques que distingan entre implementaciones de estrato gestionadas e infraestructura de borde distribuida”, dijeron las empresas. “Para los defensores, la conclusión esencia es que los LLM se implementan cada vez más en el borde para traducir instrucciones en acciones. Como tales, deben ser tratados con la misma autenticación, monitoreo y controles de red que otras infraestructuras accesibles externamente”.
