文章总结： 研究揭示全球超17.5万台Ollama服务器暴露公网，形成不受监管的AI基础设施层。由于模型高度趋同且近半数支持工具调用，导致资源劫持、数据泄露及身份洗钱风险剧增。传统治理机制失效，建议将边缘AI节点视作关键基础设施，严格实施身份验证、网络隔离与持续审计以应对新型安全威胁。 综合评分： 95 文章分类： AI安全,威胁情报,漏洞预警,网络安全

全球17.5万台Ollama服务器暴露于公网：不受监管的AI基础设施层形成重大安全隐患

原创

网空闲话 网空闲话

网空闲话plus

2026年1月30日 07:06 北京

2026年1月29日，SentinelOne旗下SentinelLABS与网络空间测绘公司Censys联合发布了一项深度研究报告，揭示了一个规模庞大且不受管理的公开人工智能计算基础设施层正在全球范围内悄然形成。该研究基于长达293天的持续互联网扫描发现，超过17.5万台运行开源框架Ollama的主机暴露在公共互联网上，这些系统分布在130个国家，完全脱离了主流AI平台提供商所部署的安全护栏、监控与滥用防护体系。

生态规模与主要特征：集中化的脆弱性

研究表明，这一暴露的生态系统呈现显著的双峰分布结构。尽管累计观测到超过723万条记录，涉及17.5万台独立主机，但仅约13%（约2.3万台）的“持久性”主机贡献了近76%的观测活动，构成了整个生态系统的核心骨干。相反，36%的主机仅被观测到一次，属于瞬时性存在。

按独立主机数量占比排名前十的国家/地区

这种结构意味着安全风险高度集中。这些持续在线、可稳定访问的主机不仅为合法用户提供效用，更成为攻击者眼中极具吸引力的高价值目标。它们通常表现出高可用性（子集分析中平均正常运行时间达87%），且近半数已配置关键风险能力。

基础设施分布：混合环境与归因困境

暴露的主机广泛分布于各类网络环境，挑战了AI计算资源集中于数据中心的传统认知：

• 56% 的主机位于固定接入电信网络（包括家庭宽带）。
• 32% 位于超大规模数据中心。
• 32% 归属于电信/住宅网络类别（分类存在重叠）。

地理分布高度集中：美国弗吉尼亚州占其本国主机的18%；中国北京一地的暴露主机占比高达30%，上海与广东合计占21%。然而，近20%的基础设施无法被清晰归因至具体的网络类型或运营主体，这种匿名性严重削弱了依赖明确所有权链和滥用举报渠道的传统治理机制的有效性。

模型与能力：趋同配置与高风险功能

研究揭示了一个关键悖论：基础设施部署是分散的，但软件生态却异常集中和趋同。

• 模型高度集中：Llama、Qwen2、Gemma2这三个模型系列在所有衡量标准（观测次数、独立主机数、主机运行天数）中稳居前三，且排名毫无波动。
• 量化格式单一：72%的部署采用4位量化格式，其中Q4_K_M单一格式就占据了全部主机的48%。这种广泛存在的“单一文化”意味着，针对特定模型或量化格式的漏洞一旦被发现，其影响可能在整个生态系统中同步、大规模爆发。

按唯一主机占比排名的前20大模型家族

更值得警惕的是其能力配置：

• 工具调用成为主流：超过48% 的被观测主机通过API声明支持工具调用功能，其中38%的主机同时支持文本生成与工具调用。这使得LLM能够执行代码、访问API并与外部系统交互，从文本生成器升级为具备行动能力的代理。
• 多模态与推理能力：22%的主机具备视觉功能，可能成为通过图像进行间接提示注入的攻击载体；26%的主机配置了用于复杂推理的“思考”模型。
• 安全护栏被刻意移除：研究已发现至少201台主机运行着标准化的“未审查”提示模板，明确移除了安全限制措施，且这仅为通过API可检测到的下限值。

主机能力覆盖率（所有主机的份额）

安全隐患：超越内容生成的现实威胁

报告指出，这一不受管理的AI基础设施层催生了多个独特的威胁载体，风险远超平台托管服务：

1. 资源劫持与犯罪产业化：攻击者可零成本滥用这些计算资源进行垃圾邮件生成、网络钓鱼内容制作、虚假信息传播等恶意活动，而由主机所有者承担所有电力和基础设施成本。已有证据表明，威胁行为者正系统性扫描此类暴露端点，验证其质量，并在黑市上以“LLM即服务”的形式转售访问权限（如已披露的“奇异集市行动”）。
2. 代理滥用与数据泄露：工具调用能力与网络暴露、身份验证缺失相结合，构成了最高级别风险。攻击者可通过提示注入技术，操纵接入企业内部系统（如通过RAG检索增强生成）的LLM执行特权操作或泄露敏感数据（如“列出文档中的配置文件”）。
3. 身份洗钱与流量伪装：大量主机位于住宅IP地址之后，这些地址通常被互联网服务商信任为真人流量。攻击者可利用这些主机上的视觉与工具调用功能，将恶意流量伪装成来自合法家庭网络，有效绕过基于IP信誉的机器人检测和安全防护。
4. 系统性集中风险：生态系统对少数模型系列和量化格式的深度依赖，创造了可被大规模利用的单一攻击面。一个针对主流配置的漏洞或对抗性攻击技术，可能造成广泛而同步的影响。

治理范式挑战

报告深刻指出，暴露的Ollama生态系统凸显了当前AI治理框架的错位与不足，形成了 “治理反转” 现象：问责制向下扩散至成千上万个无法有效管控的终端节点（如家庭网络），而功能与风险依赖性却向上集中至少数几个上游模型发布实验室。

传统的、针对集中式平台（通过服务条款、API监控、内容过滤进行治理）的机制在此完全失灵。防御方面临的挑战是：必须将部署在网络边缘、具备将指令转化为行动能力的LLM，视同其他关键网络基础设施一样对待，实施严格的身份验证、网络隔离、持续监控和行为审计。

研究人员警告，这个广泛分布、管理不善且只能部分归因的公共AI计算底层，已成为网络安全格局中一个崭新且严峻的威胁维度。其韧性源于分布的极度分散性，但其脆弱性则根植于软件栈的极端趋同性。随着开源AI模型的进一步普及，如何应对这一“去中心化部署、中心化依赖”带来的安全困境，将是业界、监管者和安全社区亟待解决的重大课题。

参考资源

1、https://www.sentinelone.com/labs/silent-brothers-ollama-hosts-form-anonymous-ai-network-beyond-platform-guardrails/

2、https://thehackernews.com/2026/01/researchers-find-175000-publicly.html

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《全球17.5万台Ollama服务器暴露于公网：不受监管的AI基础设施层形成重大安全隐患》