最近给大家介绍了ollama,很方便也很好用,但也有一个API未授权访问的隐患,安装并启动 Ollama 后,它会自动启动一个 API 服务,默认情况下,任何人都可以通过 IP 地址直接访问该 API,无需任何授权。就意味着辛辛苦苦花费大量金钱和精力部署的大模型正在被人白嫖。
当然这是本地运行的,但是有很多是挂在互联网运行的,通过资产测绘平台我们可以发现全球大概有6万条左右,独立ip7084个。
只要将这些接口配置在本地的host里,就可以随意调用别人的大模型。
这里随意试了一个链接,发现有很多可用的模型,以32b举例,它的配置要求很高,如果本地部署的话,费用可不低,但是在这里却可以免费调用别人的模型。
防护措施可以从两个方面考虑,一是从防火墙上禁止外部ip访问,二是限制 API 访问范围,修改 Ollama 启动命令,命令如下:
ollama serve --host127.0.0.1
依据《刑法》第285条第3款的规定,犯提供非法侵入或者控制计算机信息系统罪的,处3年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处3年以上7年以下有期徒刑,并处罚金。
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3741090.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论