大量私有Ollama接口在公网暴露导致任意人员可链接AI模型

Ollama 是一个专注于提供开源人工智能解决方案的平台，旨在简化机器学习和自然语言处理（NLP）模型的集成与使用。这个平台的核心目标是帮助开发者快速、简便地实现 AI 应用，而无需深入理解底层的复杂模型训练和优化过程。

多种 AI 模型支持： 除了常见的 GPT 类生成模型，Ollama 还可能支持其他类型的模型，如 BERT（用于文本分类）、T5（用于文本转换）等，使开发者可以根据不同的应用场景选择最合适的模型。

私有部署： Ollama 支持将其模型部署在私有服务器上，这意味着企业或组织可以在确保数据隐私和安全的情况下，部署与使用其 AI 模型。这对于一些涉及敏感数据的行业（如医疗、金融等）非常重要。

据互联网消息，大量私有部署的ollama暴露在公网，使得任意人员均可链接，存在安全隐患。如下图，是某网友通过fafo获取了一万多个成都的ollama接口并进行链接的过程，结果是大量接口均可成功利用。

二、 问题来源分析

暴露接口的问题来源可能来自以下几个方面：

a. 部署时默认配置

默认绑定地址错误：在Ollama启动时，如果服务绑定了0.0.0.0（监听所有网络接口），这意味着接口可以被任何人访问，包括公网。这种默认配置往往是开发环境下的设置，但在生产环境中应该使用127.0.0.1或特定的内网IP进行限制。

b. 缺乏访问控制

没有设置身份验证：如果Ollama提供的API或Web接口没有启用身份验证（如API密钥、JWT等），那么接口可能被任何人访问。尤其是当这些接口暴露在公网时，任何人都可以发起请求，造成滥用或数据泄露。

c. 容器或虚拟化配置不当

Docker/Kubernetes配置不当：如果Ollama部署在容器中，并且容器的端口配置不当，可能会导致服务暴露到公网。例如，docker run时指定了-p参数将端口映射到外部网络，导致接口暴露。

Kubernetes Service类型设置不当：如果在Kubernetes中使用了LoadBalancer类型的Service而不是ClusterIP或NodePort，接口将直接暴露到公网，攻击者可以利用这个暴露的接口进行攻击。

d. 日志和监控配置问题

缺乏监控和日志：没有配置足够的日志和监控来发现暴露接口带来的潜在风险。如果没有日志记录暴露的接口访问，可能错失安全事件的监控和响应机会。

三、 防护对策

针对上述问题，可以采取以下对策以减少暴露接口的安全风险：

a. 加强安全配置

关闭不必要的接口：定期检查和关闭那些不必要的公开接口。只暴露那些真正需要暴露的服务。

强制访问控制：使用身份验证机制（如OAuth、JWT、API密钥）来限制接口的访问，确保只有授权的用户才能进行操作。

b. 网络隔离

内部网络与外部网络隔离：重要的服务和接口应该部署在内部网络中，并且通过防火墙等设备进行隔离，避免直接暴露在公网。

使用VPN：敏感操作应该仅通过VPN连接，确保接口只对内部人员开放。

c. 加密通信

启用TLS/SSL：确保所有通过网络传输的数据都经过加密，避免中间人攻击（MITM）和数据窃取。

d. API安全策略

速率限制：设置接口的访问频率限制（rate limiting），防止接口被滥用，避免DDoS攻击和暴力破解。

输入验证：对输入数据进行严格验证，防止常见漏洞（如SQL注入、XSS、命令注入）被利用。

API网关：通过API网关统一管理和保护所有API接口，提供流量控制、身份验证、IP白名单等安全功能。

e. 定期安全审计

漏洞扫描：定期进行系统和接口的安全扫描，及时修复已知漏洞，避免攻击者利用漏洞进行攻击。

代码审计：对代码进行严格的安全审计，确保没有潜在的安全漏洞或错误配置。

f. 监控和响应机制

日志记录与分析：记录所有接口访问日志，分析异常行为，并及时响应。

入侵检测系统（IDS）：部署IDS/IPS系统，实时监控系统异常，发现并响应潜在的攻击行为。

g. 最小权限原则

最小权限：对服务和接口的访问权限进行最小化配置，只有需要使用接口的服务和人员才具有相应的权限，避免权限过度授予。

原文始发于微信公众号（信安王子）：大量私有Ollama接口在公网暴露导致任意人员可链接AI模型