Hơn 1.100 phiên bản Ollama – một framework phổ biến để chạy các mô hình ngôn ngữ lớn (LLM) cục bộ – đã được phát hiện có thể truy cập trực tiếp trên internet công cộng. Khoảng 20% trong số đó đang chủ động lưu trữ các mô hình dễ bị khai thác bởi các bên trái phép, đặt ra những thách thức đáng kể về bảo mật LLM và một lỗ hổng CVE tiềm tàng cho các hệ thống sử dụng.

Phát Hiện Đáng Báo Động từ Cisco Talos

Các chuyên gia an ninh mạng của Cisco Talos đã đưa ra phát hiện đáng báo động này trong một đợt quét Shodan nhanh chóng. Kết quả này ngay lập tức nhấn mạnh các thực hành bảo mật lơ là trong các dự án triển khai AI.

Phát hiện này cũng đồng thời kêu gọi khẩn cấp về việc thiết lập và tuân thủ các biện pháp bảo vệ tiêu chuẩn trong lĩnh vực AI.

Chi Tiết Quá Trình Phát Hiện

Chỉ trong một lần quét dữ liệu kéo dài mười phút, các nhà nghiên cứu đã xác định được tổng cộng 1.140 điểm cuối Ollama hướng ra internet công cộng.

Trong số này, khoảng 228 phiên bản đang hoạt động và cung cấp các mô hình ngôn ngữ lớn (LLM) mà không hề có các kiểm soát truy cập hoặc cơ chế xác thực phù hợp.

Để biết thêm chi tiết về phát hiện này và báo cáo gốc, bạn có thể tham khảo nguồn đáng tin cậy: Warning: Over 1,100 Ollama AI Servers Found Exposed to the Internet.

Các Hình Thức Khai Thác Tiềm Năng và Rủi Ro Bảo Mật

Việc các phiên bản Ollama bị lộ diện trên internet tạo điều kiện cho các tác nhân đe dọa truy vấn các mô hình một cách tùy ý. Chúng có thể trích xuất siêu dữ liệu nhạy cảm hoặc đảo ngược kỹ thuật các trọng số độc quyền.

Ngoài ra, khả năng tiêm mã độc hại vào hệ thống cũng là một rủi ro đáng kể. Những hành vi này trực tiếp đe dọa tài sản trí tuệ của tổ chức, làm suy yếu tính toàn vẹn của cơ sở hạ tầng AI, và xâm phạm nghiêm trọng quyền riêng tư của người dùng.

Một phiên bản Ollama công cộng cấp cho kẻ tấn công một số con đường xâm nhập tiềm ẩn, bao gồm:

• Truy Vấn Mô Hình và Trích Xuất Dữ Liệu: Kẻ tấn công có thể gửi các truy vấn tùy ý tới các mô hình LLM đang chạy trên Ollama để cố gắng trích xuất dữ liệu đào tạo nhạy cảm hoặc kích hoạt các phản ứng không mong muốn, từ đó làm lộ thông tin bí mật.
• Đảo Ngược Kỹ Thuật Trọng Số Mô Hình: Thông qua việc phân tích và truy cập các mô hình, kẻ tấn công có khả năng đảo ngược kỹ thuật các trọng số của mô hình. Điều này có thể dẫn đến việc tái tạo công nghệ hoặc thuật toán độc quyền, gây thiệt hại nghiêm trọng đến tài sản trí tuệ.
• Tiêm Mã Độc Hại và Tải Mô Hình Nguy Hiểm: Kẻ tấn công có thể lợi dụng sự thiếu kiểm soát để tiêm mã độc hại trực tiếp vào các phiên bản Ollama. Hoặc chúng có thể tải lên và triển khai các mô hình đã bị nhiễm độc, từ đó thực hiện các cuộc tấn công mạng quy mô lớn hơn hoặc chiếm quyền điều khiển hệ thống.
• Khai Thác Lỗ Hổng Hệ Thống: Với khả năng truy cập không hạn chế, kẻ tấn công có thể tạo ra các truy vấn đặc biệt tinh vi nhằm khai thác các lỗ hổng sẵn có trong hệ thống Ollama hoặc cơ sở hạ tầng bên dưới, dẫn đến việc leo thang đặc quyền hoặc kiểm soát hoàn toàn.

Tình Trạng Các Máy Chủ Ollama Bị Lộ và Các Nguy Cơ Tiềm Tàng

Mặc dù 80% số máy chủ Ollama được xác định được gắn thẻ là “không hoạt động”, Cisco Talos vẫn cảnh báo rằng các điểm cuối này vẫn có khả năng bị khai thác cao và tiềm ẩn nhiều nguy cơ.

Máy Chủ “Không Hoạt Động” Vẫn Gây Nguy Hiểm

Các phiên bản không hoạt động thường thiếu các bản vá lỗi cập nhật cần thiết. Chúng có thể dễ dàng bị sử dụng lại thông qua các cuộc tấn công DoS đơn giản bằng cách cạn kiệt tài nguyên hệ thống.

Ngoài ra, chúng cũng có thể bị giả mạo cấu hình hoặc bằng cách tải các tài sản mô hình độc hại mới, biến chúng thành công cụ cho các cuộc tấn công tiếp theo.

Dữ Liệu Metadata Bị Rò Rỉ và Tác Động

Siêu dữ liệu bị rò rỉ từ các máy chủ Ollama, như đường dẫn hệ thống, chuỗi phiên bản phần mềm và cấu hình mạng chi tiết, có thể cung cấp cho kẻ tấn công dữ liệu trinh sát có giá trị.

Dữ liệu này được dùng để lập kế hoạch cho các vi phạm cơ sở hạ tầng rộng lớn hơn, mở đường cho các cuộc tấn công phức tạp.

Phân Bố Địa Lý Các Máy Chủ Bị Lộ

Về mặt địa lý, Hoa Kỳ là nơi có số lượng máy chủ Ollama bị lộ nhiều nhất, chiếm khoảng 36,6% tổng số.

Tiếp theo là Trung Quốc với 22,5% và Đức với 8,9%.

Sự phân bố này phản ánh rõ nét việc triển khai LLM nhanh chóng trên toàn cầu mà không tuân thủ các nguyên tắc vệ sinh an ninh mạng cơ bản. Cụ thể là cách ly chu vi mạng, thực thi xác thực mạnh mẽ và lập kế hoạch ứng phó sự cố hiệu quả.

Nguyên Nhân và Yếu Tố Làm Trầm Trọng Rủi Ro Bảo Mật AI

Trong nhiều trường hợp, Ollama đã được triển khai ngoài phạm vi quản lý CNTT truyền thống của tổ chức. Điều này dẫn đến việc bỏ qua các cuộc kiểm tra bảo mật cần thiết và thiếu sự giám sát quản lý.

Sự phổ biến rộng rãi của các API tương thích OpenAI làm trầm trọng thêm nguy cơ an ninh. Nó cho phép các tác nhân đe dọa mở rộng quy mô tấn công trên nhiều nền tảng mà không cần sửa đổi mã khai thác của chúng.

Với các điểm cuối và định dạng yêu cầu quen thuộc, kẻ tấn công có thể dễ dàng chuyển từ các API được lưu trữ trên đám mây sang máy chủ Ollama cục bộ. Điều này khuếch đại tác động tiềm tàng của một cuộc tấn công mạng và làm tăng nguy cơ xâm nhập.

Biện Pháp Khắc Phục và Khuyến Nghị An Ninh mạng cho Bảo Mật LLM

Cisco Talos khuyến nghị một số hành động khắc phục cấp thiết để tăng cường bảo mật LLM và các triển khai Ollama:

• Thực thi Xác Thực Mạnh Mẽ: Cần đảm bảo rằng mọi phiên bản Ollama được triển khai đều yêu cầu các cơ chế xác thực mạnh mẽ và đa yếu tố cho tất cả các nỗ lực truy cập, nhằm ngăn chặn truy cập trái phép vào các mô hình và dữ liệu nhạy cảm.
• Cách Ly Mạng Nghiêm Ngặt: Triển khai các giải pháp Ollama trong các phân đoạn mạng được cách ly hoàn toàn với internet công cộng và các hệ thống quan trọng khác, sử dụng tường lửa và ACL hiệu quả.
• Kiểm Tra Cấu Hình Định Kỳ: Thường xuyên kiểm tra, đánh giá và cập nhật các cấu hình của Ollama và hệ thống liên quan để loại bỏ các điểm yếu tiềm ẩn và đảm bảo tuân thủ các tiêu chuẩn bảo mật.
• Kiểm Soát Truy Cập Dựa Trên IP: Giới hạn quyền truy cập vào các phiên bản Ollama chỉ cho các địa chỉ IP đáng tin cậy và cần thiết, sử dụng danh sách trắng (whitelist) để tăng cường bảo vệ.
• Cập Nhật Bản Vá Thường Xuyên: Giữ cho Ollama và tất cả các phần mềm phụ thuộc luôn được cập nhật với các bản vá bảo mật mới nhất ngay khi chúng được phát hành, nhằm khắc phục các lỗ hổng đã biết.
• Giám Sát Lưu Lượng Mạng Liên Tục: Thực hiện giám sát lưu lượng mạng liên tục và phân tích nhật ký (log) để phát hiện kịp thời các truy cập bất thường, hành vi đáng ngờ hoặc các dấu hiệu của một cuộc tấn công.

Nâng Cao Khả Năng Giám Sát Mối Đe Dọa AI và Bảo Mật LLM

Cisco Talos cũng nhấn mạnh rằng việc quét Shodan chỉ cung cấp một phần cái nhìn về cảnh quan mối đe dọa AI đang phát triển nhanh chóng. Để đạt được phạm vi bao phủ toàn diện và hiệu quả, các đội an ninh cần đổi mới các phương pháp quét mới.

Ví dụ như nhận dạng máy chủ thích ứng và thăm dò chủ động các framework thay thế như Hugging Face, Triton và vLLM. Khả năng hiển thị mở rộng như vậy là cần thiết để bảo vệ cơ sở hạ tầng AI chống lại các tác nhân đe dọa ngày càng tinh vi và đảm bảo an toàn cho các hệ thống bảo mật LLM.