Открытый искусственный интеллект ускорил инновации с беспрецедентной скоростью. 

Легкие развертывания, локальная интерференция и развитие, управляемое сообществом, снизили барьер для входа для разработчиков по всему миру. Тем не менее, эта же открытость теперь выявляет критическую линию разлома.

Исследователи в области кибербезопасности бьют тревогу после того, как обнаружили тысячи общедоступных серверов ИИ, работающих на открытых больших языковых моделях (LLMs), без даже базовых средств безопасности.

Неправильно настроенные развертывания, особенно те, что работают на Ollama, тихо располагаются в открытом интернете. Никаких паролей. Никаких ограничений доступа. Никаких защитных мер. Для угрозовых актеров это не проблема. Это приглашение.

Поскольку злоумышленники всё активнее используют открытые модели ИИ для фишинга, дипфейков и кражи данных, риски больше не являются теоретическими. Они стали операционными, глобальными и стремительно растут.

Ключевые выводы

• Тысячи открытых серверов ИИ с открытым исходным кодом выставлены на всеобщее обозрение, что позволяет киберпреступникам осуществлять массовое похищение данных.

• Хакеры активно используют незащищенные развертывания Ollama для мошенничества, глубоких фальсификаций и кражи данных.

• Плохая безопасность развертывания ИИ становится системным киберриском, а не уязвимостью на границе случаев.

   

Исследуйте возможности, основанные на ИИ, и торгуйте безопасно на Bitrue чтобы опережать новые технологические риски и тенденции.

Как серверы с открытым исходным кодом стали легкими мишенями

Коренная причина этой растущей угрозы обманчиво проста: неправильная конфигурация. 

Многие разработчики развертывают модели искусственного интеллекта на основе Ollama для экспериментов или внутреннего использования, но не ограничивают доступ к сети. В результате эти серверы остаются доступными из публичного интернета без аутентификации.

В отличие от централизованных ИИ-платформ,открытые LLMчасто не имеют встроенного обеспечения безопасности. При использовании они функционируют как мощные, анонимные и неограниченные вычислительные двигатели. Хакерам не нужно взламывать систему. Они просто подключаются.

Это создает опасную асимметрию. Защитники предполагают неясность. Нападающие предполагают масштаб.

Читайте также:Почему акции Microsoft упали: снижение темпов роста облачных услуг, рекордные расходы на ИИ и вопросы о доходности инвестиций

Масштаб Выявления: Глобальная Слепая Зона Безопасности ИИ

Масштаб воздействия гораздо больше, чем предполагают большинство организаций. SentinelOne и Censys проанализировали более 7,23 миллиона данных за 300 дней, выявив примерно 23 000 постоянно активных AI-хостов в 130 странах.

Китай составляет примерно 30% открытых серверов, сосредоточенных в основном в Пекине. Соединенные Штаты занимают второе место с 18-20%, часто прослеживаемых в дата-центрах, расположенных в Вирджинии.

Более тревожным является то, что 56% этих хостов ИИ работают на домашних интернет-соединениях, что позволяет злоумышленникам смешивать вредоносный трафик с обычными IP-адресами домашних пользователей, тактика уклонения, которая усложняет атрибуцию и обнаружение.

В общей сложности исследователи оценивают, что до 175,000 частных серверов могут время от времени запускать уязвимые модели ИИ, создавая постоянно меняющуюся поверхность атаки.

Читать также:Большинство генеральных директоров утверждают, что ИИ не увеличил доходы и не снизил затраты: результаты опроса

Тактика эксплуатации хакеров, нацеленных на модели искусственного интеллекта с открытым исходным кодом

Акторы угроз полагаются на автоматизацию и видимость. Используя платформы, такие как Shodan и Censys, злоумышленники сканируют серверы Ollama, слушающие на порту по умолчанию 11434. Как только они идентифицируют сервер, эксплуатация часто оказывается тривиальной.

Распространенные техники включают:

• Серверное подделывание запросов (SSRF)

  углубиться в связанные системы

• Запрос на наводнениедля исследования поведения модели, пределов контекста и разрешений

• Атаки с внедрением подсказок, особенно на моделях с включенным вызовом инструментов

Почти 48% уязвимых серверов поддерживают вызов инструментов, что значительно расширяет радиус поражения. С помощью тщательно продуманных подсказок злоумышленники могут извлекать ключи API, получать доступ к локальным файлам или захватывать подключенные сервисы.

Эти скомпрометированные экземпляры ИИ не остаются конфиденциальными. Операции, такие как «Бizarre Bazaar», открыто перепродают украденный доступ к ИИ по низким ценам, предлагая готовую инфраструктуру для спам-кампаний, генерации глубоких фейков и сбора учетных данных.

GreyNoise зафиксировал более 91,000 атак, связанных с ИИ, между октября 2025 года и ранним 2026 годом, подчеркивая, насколько агрессивно используется этот вектор.

Читать также:WhatsApp взимает операционные сборы за AI-чат-ботов в Италии.

Киберпреступность и рост автономных атак с использованием ИИ

Этот тренд не существует в изоляции. Согласно прогнозу безопасности Check Point на 2026 год, глобальные кибератаки возросли на 70% между 2023 и 2025 годами, при этом ИИ все больше внедряется в инструменты атак.

Некоторые атаки теперь работают полусамостоятельно. В конце 2025 года исследователи зафиксировали кампанию шпионства с поддержкой ИИ, способную динамически адаптировать содержимое фишинга в реальном времени. 

Подвергнутые воздействию крупные языковые модели (LLM) усиливают эту угрозу, предоставляя бесплатные, масштабируемые двигатели разведки без каких-либо этических ограничений.

Хуже того, недавно обнаруженные уязвимости, такие как CVE-2025-197 и CVE-2025-66959, позволяют злоумышленникам сбивать с толку или дестабилизировать до 72% уязвимых хостов через слабости в широко используемом формате файла модели GGUF_K.

Атаки на доступность, утечка данных и боковое перемещение больше не являются крайними сценариями; они стали обычным результатом плохой гигиены ИИ.

Почему открытые развертывания ИИ представляют собой долгосрочную угрозу безопасности

Опасность незащищенного Модели ИИ is структурированным. В отличие от традиционных серверов, LLM являются интерактивными системами. Они рассуждают. Они помнят контекст. Они подключаются к инструментам. Когда они скомпрометированы, они становятся умножителями для социального манипулирования, мошенничества и наблюдения.

Открытый ИИ не является по своей природе небезопасным. Но развертывание его без средств контроля доступа, аутентификации или мониторинга эффективно превращает инфраструктуру инноваций в инфраструктуру киберпреступности. По мере нарастания внедрения возрастает и потенциальная угроза массовой эксплуатации.

Читать также:Завершилось судебное разбирательство по иску против Google Assistant с соглашением на сумму 68 миллионов долларов на фоне обеспокоенности по поводу конфиденциальности

Стратегии смягчения для обеспечения безопасности открытых AI моделей

Защитные меры не являются сложными или необязательными. Лучшие практики включают:

• Привязка AI-сервисов, таких как Ollama, строго к локальному хосту или частным сетям

• Принуждение аутентификации и контроля доступа

• Отключение ненужных функций вызова инструментов

• Постоянный мониторинг интернет-выставленных конечных точек

В эпоху ИИ безопасность на основе предположений больше не является достаточной. Видимость, дисциплина настройки и моделирование угроз должны стать стандартной практикой.

Часто задаваемые вопросы

Что делает серверы с открытым исходным кодом уязвимыми для хакеров?

Большинство атак используют простые ошибки конфигурации, когда серверы ИИ оставлены общедоступными без паролей или сетевых ограничений.

Почему развертывания Ollama специально нацелены?

Ollama часто работает на известном порту по умолчанию и часто разворачивается без аутентификации, что позволяет легко сканировать и захватывать его в больших масштабах.

Как хакеры используют захваченные AI модели?

Скомпрометированные модели используются для фишингового контента, генерации дипфейков, спам-кампаний, кражи данных и автоматизированных операций киберпреступности.

Насколько широко распространено воздействие серверов ИИ?

Исследователи обнаружили десятки тысяч активных открытых хостов ИИ по всему миру, при этом оценки достигают до 175 000 уязвимых серверов.

Как разработчики могут обеспечить безопасность развертываний открытого кода ИИ?

Ограничивая доступ к сети, включая аутентификацию, отключая рискованные функции и активно следя за публичным раскрытием.