Plus de 1 000 serveurs d’intelligence artificielle, utilisant l’outil Ollama, sont exposés publiquement sur Internet sans aucune protection. Cette négligence ouvre la porte à des actes malveillants, allant du détournement de ressources à l’injection de code malveillant.
Plus de 1 100 serveurs LLM sans défense sur Internet
Cisco Talos a publié un rapport révélant comment son outil en Python a permis de détecter sur Internet des serveurs avec de LLM mal protégés. En s’appuyant sur le moteur de recherche Shodan, leur analyse s’est concentrée sur les serveurs utilisant Ollama, un framework open source très simple d’utilisation permettant de déployer un LLM en local, et donc, de faire de l’IA en local.
Résultat de l’analyse : 1 139 instances Ollama ont été identifiées comme étant publiquement accessibles. Pire encore, environ 18,8% d’entre elles (soit 214 serveurs) hébergent des modèles prêts à l’emploi, tels que Mistral et LLaMA, et répondent aux requêtes sans aucune authentification. Pour les 80% restants, ils sont inactifs (sans modèle chargé), mais ils restent exposés et donc vulnérables : un attaquant pourrait tenter de téléverser un modèle sur le serveur.
Où se situent ces serveurs vulnérables ? Trois pays sortent du lot : les États-Unis (36,6 %), la Chine (22,5 %) et l’Allemagne (8,9 %).
“De nombreuses solutions LLM auto-hébergées ou déployées localement sont mises en ligne sans renforcement adéquat, exposant fréquemment les points d’extrémité en raison de configurations par défaut, d’une authentification faible ou absente et d’une isolation insuffisante du réseau.”, précise les chercheurs.
Une nouvelle surface d’attaque…
L’analyse a été effectuée en recherchant les serveurs en écoute sur les ports par défaut associés aux frameworks LLM, notamment le port 11434 pour Ollama. La présence d’en-têtes HTTP spécifiques, comme Server: “uvicorn”, a permis d’affiner la détection. Une fois un serveur identifié, des requêtes simples, comme un calcul mathématique, étaient envoyées pour tester le serveur et vérifier si, oui ou non, l’API répondait sans authentification.
L’exposition de ces serveurs crée une nouvelle surface d’attaque, avec les risques qui vont avec. On peut notamment citer :
Accès non autorisé à l’API : n’importe qui peut soumettre des requêtes, potentiellement coûteuses en ressources de calcul.
Détournement de ressources : les serveurs ouverts peuvent être exploités comme une source de calcul gratuite.
Jailbreaking : des prompts malveillants peuvent être utilisés pour contourner les garde-fous du modèle et générer des contenus illicites ou du code malveillant, puisqu’il n’y a pas les mêmes protections sur un LLM exécuté en local.
Ces serveurs sont probablement les résultats de tests effectués par des utilisateurs curieux de voir comment exécuter en local un LLM. Reste à savoir, parmi ces serveurs, combien ont réellement la capacité de faire tourner convenablement un LLM sans devoir attendre une plombe chaque réponse…
Qu’en pensez-vous ?
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.