175.000 offen erreichbare KI-Server: Neue Angriffsfläche durch Ollama : Sicherheitsexperten warnen vor ungeschützter KI-Infrastruktur außerhalb klassischer Sicherheitszonen
Eine globale Untersuchung zeigt, wie ungeschützte KI-Systeme unbemerkt zu einem immensen Sicherheitsrisiko werden. 175.000 öffentlich erreichbare Ollama-Server bilden eine neue, kaum kontrollierte Rechenebene für künstliche Intelligenz – und eröffnen Cyberkriminellen völlig neue Möglichkeiten für Missbrauch und Monetarisierung.
Der Einsatz von künstlicher Intelligenz verlagert sich zunehmend an den Rand der IT-Infrastruktur. Genau dort entsteht derzeit eine neue, kaum überwachte Angriffsfläche. Eine gemeinsame Analyse von SentinelLABS und Censys hat 175.000 öffentlich erreichbare Ollama-Instanzen in 130 Ländern identifiziert. Die Systeme laufen in Cloud-Umgebungen ebenso wie in privaten Netzen und entziehen sich weitgehend den Sicherheitsmechanismen klassischer Plattformanbieter.
Die größte Konzentration der exponierten Systeme befindet sich in China mit etwas mehr als dreißig Prozent aller Funde. Weitere Schwerpunkte liegen unter anderem in den Vereinigten Staaten, Deutschland, Frankreich, Südkorea, Indien, Russland, Singapur, Brasilien und dem Vereinigten Königreich. Damit entsteht eine globale, unverwaltete Rechenebene für große Sprachmodelle (LLMs), die außerhalb etablierter Sicherheitsperimeter betrieben wird.
Warum Ollama so leicht exponiert werden kann
Ollama ist ein Open-Source-Framework, mit dem sich große Sprachmodelle lokal auf Windows, macOS und Linux betreiben lassen. Standardmäßig bindet der Dienst an die lokale Adresse 127.0.0.1. Eine einzige Konfigurationsänderung genügt jedoch, um ihn an eine öffentliche Schnittstelle zu binden und damit aus dem Internet erreichbar zu machen. Genau diese Fehlkonfiguration ist der Hauptgrund für die massive Verbreitung offen zugänglicher Instanzen.
Da Ollama – ähnlich wie der vor einiger Zeit populär gewordene Moltbot, früher bekannt als Clawdbot – lokal betrieben wird, greift weder klassische Netzsegmentierung noch die Überwachung durch zentrale Sicherheitslösungen. Die Forscher sprechen deshalb von einer neuen Klasse unverwalteter KI-Recheninfrastruktur, die sich fundamental von klassischen Cloud-Deployments unterscheidet.
Tool Calling verschärft das Bedrohungsmodell
Besonders kritisch ist, dass mehr als achtundvierzig Prozent der identifizierten Server sogenannte Tool-Calling-Funktionen aktiviert haben. Diese ermöglichen es den Sprachmodellen, Code auszuführen, Programmierschnittstellen aufzurufen und mit externen Systemen zu interagieren. Die Sicherheitsanalysten Gabriel Bernadett-Shapiro und Silas Cutler warnen: „Fast die Hälfte der beobachteten Hosts ist so konfiguriert, dass sie aktiv in größere Systemprozesse eingreifen können.“
Damit verändert sich das Bedrohungsmodell grundlegend. „Ein reiner Textgenerierungs-Endpunkt kann schädliche Inhalte erzeugen, aber ein Tool-fähiger Endpunkt kann privilegierte Operationen ausführen“, heißt es weiter. In Kombination mit fehlender Authentifizierung und öffentlicher Erreichbarkeit entstehe das derzeit höchste Risikoniveau im gesamten Ökosystem.
Zusätzlich wurden Systeme identifiziert, die nicht nur Texte verarbeiten, sondern auch logisch schlussfolgern und Bilder analysieren können. Besonders kritisch: 201 dieser Server waren so konfiguriert, dass eingebaute Sicherheitsmechanismen bewusst deaktiviert wurden. Solche entschärften Prompt-Vorlagen entfernen Schutzfunktionen vollständig und ermöglichen es Angreifern, die KI ohne Einschränkungen für missbräuchliche Zwecke zu nutzen.
LLMjacking wird zur realen Bedrohung
Die offen erreichbaren Systeme sind ein ideales Ziel für sogenanntes LLMjacking. Dabei missbrauchen Angreifer fremde KI-Infrastruktur, um auf Kosten der Betreiber eigene Rechenlasten auszuführen. Die Einsatzszenarien reichen von Spam- und Desinformationskampagnen über Krypto-Mining bis hin zum Weiterverkauf der Zugänge an andere kriminelle Gruppen.
Dass es sich dabei nicht um ein theoretisches Risiko handelt, zeigt ein aktueller Bericht von Pillar Security. Demnach läuft bereits eine aktive Kampagne mit dem Namen Operation Bizarre Bazaar. Angreifer scannen automatisiert das Internet nach offenen Ollama-, vLLM- und OpenAI-kompatiblen Endpunkten, testen deren Qualität und vermarkten den Zugang anschließend über eine Plattform, die als einheitliches KI-Gateway fungiert. Die Experten sprechen von dem ersten vollständig dokumentierten LLMjacking-Marktplatz mit klarer Zuordnung zu einem Angreifer. Dabei handelt es sich um einen Bedrohungsakteur mit dem Namen Hecker, der auch unter den Aliasnamen Sakuya und LiveGamer101 bekannt ist.
Neue Governance für KI am Edge nötig
Die verteilte Struktur dieser KI-Systeme stellt Sicherheitsverantwortliche vor neue Herausforderungen. Viele der exponierten Instanzen laufen nicht in kontrollierten Rechenzentren, sondern an privaten Internetanschlüssen oder in kleinen, dezentralen Umgebungen. Dort greifen weder zentrale Sicherheitsrichtlinien noch einheitliches Monitoring. Angreifer können diese Systeme gezielt missbrauchen, um manipulierte Eingaben einzuschleusen oder schädlichen Datenverkehr über fremde Infrastruktur zu leiten – und bleiben dabei oft lange unentdeckt.
Die Sicherheitsforscher kommen zu einem eindeutigen Schluss: Große Sprachmodelle werden immer häufiger direkt an der Schnittstelle zum Netzwerk – also am Rand – eingesetzt, wo sie Befehle nicht nur verarbeiten, sondern auch ausführen. Genau deshalb müssen sie wie jeder andere öffentlich erreichbare Dienst abgesichert werden – mit Zugangskontrollen, laufender Überwachung und klar getrennten Netzbereichen. Ohne diesen Paradigmenwechsel entsteht aus dem rasanten Ausbau von KI-Systemen eine neue, weltweit verteilte Angriffsfläche, die sich kaum noch kontrollieren lässt.