2026-02-02 00:15:31 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文章揭露全球超17.5万台Ollama服务器因配置不当绑定公网而面临劫持风险，其中三成受害者在中国。黑客通过LLMjacking行动利用未授权接口调用工具或窃取算力谋利。建议仅绑定本地回环地址，必要时使用VPN或SSH隧道，并强制部署反向代理与身份认证机制以保障安全。 综合评分： 94 文章分类： 威胁情报,漏洞预警,AI安全,应急响应

cover_image

技术干货 | 17万台AI服务器失守，揭秘“LLMjacking”背后的黑产链条

原创

Hankzheng Hankzheng

技术修道场

2026年2月1日 10:17 广东

你好！作为一名长期潜伏在代码堆里的IT人员，我太清楚咱们程序员的习惯了：好不容易有个像 Ollama 这样能一键丝滑运行大模型的“神器”，那还不赶紧部署起来？

但今天这篇文章，我必须得给你提个醒。就在最近，安全机构 SentinelOne 和 Censys 曝出了一个惊天大瓜：全球有超过 17.5 万台 Ollama 服务器正“裸奔”在公网。

更扎心的是，这其中 30% 以上的受害者都在中国。 兄弟，先别急着看戏，赶紧检查下你公司的测试机或者家里的 NAS，说不定你就是那 17.5 万分之一。

一个配置引发的“事故”

咱们平时为了图省事，想从公司访问家里服务器上的 Ollama，或者是想给前端同事开个接口，是不是经常顺手就把环境变量改成了 OLLAMA_HOST=0.0.0.0？

虽然 Ollama 默认绑定的是本地回环地址 127.0.0.1:11434，相对安全。但只要你为了远程接入改了这行配置，且没有加任何防火墙（WAF）或鉴权层，你的模型、你的数据、甚至你的服务器控制权，可能就已经对全互联网开放了。

根据最新的联合调查报告，全球 130 个国家的 17.5 万个主机都在公网裸奔。这些系统不仅存在于云端，还有大量部署在民用住宅网络中。这意味着，你的家用宽带 IP 已经变成了黑客眼中的“小肥羊”。

为什么这次后果很严重？

可能有人会觉得：“我就跑个 Llama 3，黑客进来了顶多也就帮我练练对话，能出什么大事？”

朋友，时代变了。现在的 LLM 不再只是个“聊天机器人”，它是有“手”的。

1. Tool-calling：黑客的“万能钥匙”

调查发现，近一半（约 48%）的暴露主机都开启了 Tool-calling（工具调用/函数调用） 功能。

技术原理：

LLM 通过解析用户指令，自动调用外部 API、数据库或执行系统代码。 危险点：如果你的模型具备执行代码或访问内网 API 的权限，而接口又是免密开放的，黑客就可以通过精心构造的 Prompt，命令你的 AI 去删库、去窃取敏感数据，甚至直接在你的服务器上执行提权操作。

2. “裸奔”的推理算力与 LLMjacking

调查中还发现了 201 个运行着完全“无限制（Uncensored）”模板的主机。这意味着黑客可以利用你的算力去生成违规内容、钓鱼邮件或者进行网络攻击，而这一切的法律责任和电费，最后都得由你来背。

揭秘黑产：Operation Bizarre Bazaar

这次报告里提到了一个非常硬核的黑产概念：LLMjacking（大模型劫持）。

现在已经有成熟的黑产团伙（比如代号为 “Hecker” 的家伙）在干这事儿了。他们搞了一个叫 Operation Bizarre Bazaar 的行动，流程极其专业：

全网扫描：

疯狂扫描公网上的 Ollama 实例、vLLM 服务器和兼容 OpenAI 的 API 接口。
自动验证：

脚本自动发消息测试，看看这个接口是不是没设密码、响应速度快不快、模型好不好用。
商业转售：

重点来了！他们把这些偷来的 API 聚合在一起，挂在一个叫 silver[.]inc 的平台上，以极低的价格卖给其他人。

你自费买的高性能显卡，可能正在被世界另一头的黑客当成收割钱包的“矿机”。

技术避坑指南：我们该怎么办？

既然咱们是搞技术的，解决问题就得从架构入手。我建议你立刻执行以下操作：

1. 守住 127.0.0.1

除非万不得已，不要将 OLLAMA_HOST 设置为 0.0.0.0。如果一定要远程访问，请务必使用 VPN 或 SSH Tunnel。

2. 必须加一层“保护”

Ollama 原生并不自带身份认证（Auth）。如果你必须公网暴露，请务必在前面挂一个 Nginx 或 Caddy 反向代理，并配置 Basic Auth 或 API Key 校验。

# 简单的 Nginx 配置示例，给 Ollama 加个锁location&nbsp;/ {&nbsp; &nbsp;&nbsp;proxy_pass&nbsp;http://localhost:11434;&nbsp; &nbsp;&nbsp;auth_basic&nbsp;"Restricted Content";&nbsp; &nbsp;&nbsp;auth_basic_user_file&nbsp;/etc/nginx/.htpasswd;}

3. 隔离你的环境

不要让 Ollama 运行在具有高权限的用户下，尽量使用 Docker 容器并限制容器的网络访问范围，防止黑客通过 Tool-calling 渗透进你的内网。

结语： AI 时代，模型是生产力，但安全是基线。Ollama 给了我们本地部署的自由，但自由的代价是开发者必须承担起维护安全的责任。赶紧查一下你的服务器 IP，看看 11434 端口是不是还在公网向全世界招手？

你想让我帮你写一段检查本地 Ollama 是否存在公网暴露风险的 Python 脚本吗？欢迎留言告诉我！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：技术修道场 Hankzheng Hankzheng《技术干货 | 17万台AI服务器失守，揭秘“LLMjacking”背后的黑产链条》