警惕开源AI部署的安全风险

如果说AI本身已足够令人担忧，那么研究人员最新发现：开源AI部署可能带来比商业AI供应商更大的安全风险。

SentinelLABS的威胁研究人员联合互联网测绘公司Censys，对暴露在公网上的Ollama部署情况进行了调查，结果发现了一个遍布全球、高度同质化的开源AI网络——只待一个合适的零日漏洞出现，便可能全面沦陷。

研究人员共发现130个国家中175,108个唯一的Ollama主机暴露于公共互联网。其中绝大多数运行的是Llama、Qwen2和Gemma2模型，且大多采用相同的模型量化压缩方式和打包方案。双方指出，这表明开源AI部署已形成一种极易被大规模利用的“单一文化”（monoculture）。

他们在报告中写道：“特定量化模型在处理token时若存在漏洞，可能同时影响大量暴露在外的系统，而非仅表现为孤立事件。”

更糟的是，许多暴露的Ollama实例启用了通过API端点调用工具的能力、视觉功能，以及缺乏安全防护机制的无审查提示模板。由于这些部署并非由大型AI公司管理，SentinelLABS与Censys警告称，这些暴露面很可能无人监控，一旦遭利用也难以察觉。

据他们分析，主要风险包括：

•因缺乏集中监管而导致的资源劫持；

•因缺少安全护栏和暴露的API端点而引发的远程特权操作执行；

•攻击者通过受害者基础设施转发恶意流量，实现身份洗白（identity laundering）。

研究团队强调，关键教训在于：无论是否开源，AI都应被视为关键基础设施加以对待。

“大语言模型（LLM）正越来越多地部署在边缘端，用于将指令转化为具体操作，” SentinelLABS与Censys总结道，“因此，它们必须像其他对外暴露的关键基础设施一样，实施同等强度的身份认证、监控和网络控制措施。”