Pesquisa da SentinelLabs, em parceria com Censys, encontrou cerca de 175.000 instâncias de Ollama acessíveis publicamente, criando risco de execução remota de código e interação não autorizada com infraestrutura externa.
O achado e metodologia
Analistas da SentinelLABS realizaram um rastreamento de 293 dias em colaboração com a Censys e reportaram 7,23 milhões de observações relativas a hosts Ollama expostos. A exposição decorre, em boa parte, de alterações de configuração por administradores que vinculam o serviço a 0.0.0.0 ou interfaces públicas, quando a configuração padrão do Ollama deveria limitar o binding a endereço local.
Escopo e concentração
Os dispositivos expostos se distribuem por 130 países e 4.032 sistemas autônomos, com cerca de 175.000 hosts identificados como publicamente acessíveis. Quase metade das instâncias analisadas apresenta capacidades de "tool‑calling", ou seja, aptidão para executar ações além de mera geração de texto — funcionalidade que amplia o risco ao permitir que prompts maliciosos acionem comandos ou APIs externas.
Capacidades observadas
- 38% dos hosts exibem tanto funções de completamento de texto quanto execução de ferramentas (text+tool);
- 22% possuem capacidades de visão (análise de imagens/documentos), o que abre vetores indiretos de injeção via conteúdo multimídia;
- 26% rodam modelos otimizados para raciocínio em passos sequenciais, potencialmente facilitando operações complexas coordenadas;
- 48% operam com formatos de quantização e famílias de modelos idênticas, criando uma monocultura suscetível a ataques de grande alcance caso uma falha comum seja descoberta.
Vetores de exploração — prompt injection e tool‑calling
O principal risco técnico destacado pelos pesquisadores é a combinação de prompt injection com tool‑calling. Em implantações com controle de autenticação insuficiente, um atacante pode enviar prompts que induzam o sistema a executar comandos no host, acessar recursos internos ou interagir com APIs externas. Em implementações RAG (retrieval‑augmented generation), onde modelos buscam documentos locais, a ameaça se intensifica: instruções maliciosas embutidas em dados consultados podem levar o modelo a realizar ações indesejadas.
Por que isto interessa a CISOs
Além do risco direto de execução remota, a exposição em larga escala de instâncias com capacidades de execução de ferramentas significa que uma única configuração incorreta replicada por milhares de administradores pode virar vetor para campanhas automatizadas de comprometimento. A monocultura observada pelos pesquisadores reduz a diversidade de mitigação e eleva o potencial de blast radius em caso de exploit contra formatos de modelo ou bibliotecas comuns.
Recomendações práticas
- Verificar binding de rede do serviço Ollama e garantir que não esteja exposto a interfaces públicas (evitar 0.0.0.0 salvo quando estritamente necessário e controlado);
- implementar autenticação forte e controles de acesso para endpoints de model serving;
- desabilitar capacidades de tool‑calling em instâncias que não requeiram execução de comandos ou integração com APIs sensíveis;
- monitorar telemetria e logs por chamadas anômalas e exigir revisão de configurações por equipes de segurança antes de exposição externa.
Fonte
Cyber Security News, reportando análise da SentinelLABS em parceria com Censys.