Il boom dell’intelligenza artificiale generativa non porta con sé solo nuove opportunità, ma anche rischi legati alla fretta con cui le aziende adottano queste tecnologie. Lo dimostra l’ultima ricerca di Cisco Talos, che ha individuato più di 1.100 server Ollama esposti pubblicamente su internet e quindi potenzialmente vulnerabili ad abusi e attacchi mirati.

Ollama è una piattaforma che permette di eseguire LLM in locale, su un computer desktop o un server, senza dover ricorrere al cloud. La sua popolarità è cresciuta rapidamente grazie alla semplicità di utilizzo e alla possibilità di integrare modelli come GPT-4, LLaMA o Mistral direttamente in ambienti aziendali o personali.

Proprio questa facilità di adozione ha spinto Cisco a indagare più a fondo. Come ha spiegato Giannis Tziakouris, Senior Incident Response Architect di Talos, il successo di Ollama ha reso urgente capire quali rischi si nascondano dietro installazioni poco protette.

La scoperta con Shodan

I ricercatori hanno utilizzato Shodan, un motore di ricerca che mappa dispositivi e servizi connessi alla rete, per scovare i server Ollama accessibili pubblicamente. Nel giro di appena dieci minuti sono riusciti a trovarne più di 1.000, cifra salita poi a oltre 1.100.

Ancora più preoccupante è il fatto che circa il 20% di questi server stava effettivamente ospitando modelli attivi e quindi sfruttabili da chiunque conoscesse l’indirizzo. Il rischio? Chiunque potrebbe interagire con l’LLM, consumare risorse, generare traffico e perfino lanciare attacchi più sofisticati.

Cisco ha individuato diversi scenari di minaccia collegati a questi server non protetti:

  • Model Extraction Attacks: interrogando ripetutamente un modello, un attaccante può cercare di ricostruire i suoi parametri interni
  • Jailbreaking e abusi di contenuto: modelli come GPT-4 o LLaMA possono essere manipolati per produrre output vietati, come codice malevolo o disinformazione
  • Backdoor Injection e Model Poisoning: caricando modelli non affidabili o sfruttando endpoint scoperti, un malintenzionato può introdurre payload dannosi

vulnerabilità ollama

Il quadro, insomma, va oltre il semplice consumo di risorse e riguarda veri e propri attacchi contro l’integrità dei modelli e la sicurezza degli ambienti che li ospitano.

Dormienti ma vulnerabili

Cisco stima che circa l’80% dei server individuati non stesse eseguendo alcun modello al momento della scansione. Potrebbe sembrare una buona notizia, ma non lo è del tutto. Secondo i ricercatori, questi server rimangono comunque esposti a manipolazioni della configurazione o al caricamento di modelli malevoli.

Come sottolinea Tziakouris, anche un’interfaccia apparentemente inattiva può diventare la porta d’ingresso per attacchi di tipo Denial of Service, esaurimento delle risorse o movimenti laterali all’interno della rete aziendale. Il fenomeno ha una distribuzione geografica precisa, visto che la maggior parte dei server si trova negli Stati Uniti (36,6%), seguiti dalla Cina (22,5%) e dalla Germania (8,9%). Non si tratta quindi di un problema circoscritto, ma di una vulnerabilità diffusa su scala globale.

Per Cisco, questi dati rivelano una verità scomoda, ovvero la negligenza nelle pratiche di sicurezza fondamentali. Troppi sistemi vengono infatti messi in produzione senza controlli adeguati di accesso, autenticazione e isolamento di rete, spesso perché i team che sperimentano con l’IA preferiscono muoversi in autonomia, senza coinvolgere l’IT e senza le dovute cautele. Secondo Tziakouris, la situazione potrebbe peggiorare con la diffusione di API compatibili con OpenAI, che rendono più facile per gli attaccanti replicare exploit su diverse piattaforme.

La strada da seguire

La soluzione, sostiene Cisco, passa attraverso la definizione di baseline di sicurezza standardizzate, strumenti di auditing automatici e linee guida più chiare per il deployment dei sistemi basati su LLM. Ma non basta. Occorre sviluppare nuovi strumenti di analisi, più avanzati di Shodan, che includano fingerprinting adattivo e tecniche di probing attivo. Solo così sarà possibile avere una visione più completa delle vulnerabilità, non solo per Ollama ma anche per framework diffusi come Hugging Face, Triton o vLLM.

La conclusione del report è netta. Nell’entusiasmo di adottare le nuove tecnologie IA, troppe organizzazioni hanno messo in secondo piano la sicurezza e si tratta di un atteggiamento rischioso, che espone infrastrutture e dati a minacce concrete. L’IA, insomma, non può essere trattata come un semplice tool sperimentale, ma come un sistema critico da proteggere fin dall’inizio.