sistema: OPERATIVO
EN FR ES ZH
← volver a todos los hacks
DEFENSE MEDIUM NEW

Un millón de servicios de IA expuestos: lo que el escaneo de Intruder encontró realmente

El 5 de mayo de 2026, Intruder publicó los resultados de un escaneo de internet que mapeó un millón de servicios de IA expuestos en dos millones de hosts. El fallo recurrente no es exótico: son las configuraciones por defecto permisivas.

2026-05-29 // 8 min affects: ollama, flowise, n8n, open-webui, self-hosted-llm-stacks

What is this?

El 5 de mayo de 2026, The Hacker News publicó We Scanned 1 Million Exposed AI Services. Here’s How Bad the Security Actually Is, una contribución del equipo de seguridad de Intruder. Partiendo de los registros de transparencia de certificados como semilla, el equipo enumeró algo más de dos millones de hosts, identificó un millón de servicios de IA expuestos y revisó un subconjunto de los stacks más comunes en un entorno de laboratorio. Su conclusión, textual: “la infraestructura de IA que escaneamos estaba más vulnerable, más expuesta y peor configurada que cualquier otro software que hayamos investigado”.

El informe es el elemento que cubrimos aquí — no porque revele una nueva clase de vulnerabilidad, sino porque cuantifica, con una metodología reproducible, un problema que la mayoría de los escritos sobre seguridad de LLM siguen tratando como anecdótico. El informe Fault Lines in the AI Ecosystem de Trend Micro y su nota de prensa sobre servidores de IA expuestos corroboran el mismo patrón desde otro ángulo, y Cybernews ya había documentado más de 175 000 sistemas de IA expuestos, incluidas instancias de Ollama sin autenticación. La señal es coherente en tres mediciones independientes.

How it works

No hay ataque novedoso en el informe de Intruder. La metodología es reconocimiento básico aplicado a escala, y el modo de fallo es de diseño. Las categorías de exposición reportadas son lo bastante estables como para resumirlas en un flujo de trabajo.

Etapa                          Lo que ve un escáner no autenticado
-----------------------------  -----------------------------------------------
1. Descubrimiento              Logs de transparencia de certificados → ~2M
                               hosts candidatos ejecutando servicios de IA
2. Fingerprinting              Los puertos abiertos responden con los banners
                               de proyecto (Open WebUI, Flowise, n8n, Ollama…)
3. Sonda de autenticación      Pegar a "/" o a los endpoints del modelo sin
                               cabecera → muchos devuelven contenido,
                               no 401/403
4. Sonda de capacidad          Enviar un prompt inocuo ("Hello") a las APIs
                               de Ollama que anuncian un modelo cargado
5. Sonda de configuración      Leer docker-compose, ficheros env,
                               credenciales por defecto documentadas
6. Inventario de herramientas  Para plataformas de agentes (Flowise, n8n):
                               listar nodos, credenciales, prompts,
                               herramientas conectadas

Tres hallazgos concentran la mayor parte del impacto.

Chatbots sin autenticación en la entrada. Instancias basadas en Open WebUI exponían el historial completo de conversaciones LLM de los usuarios a cualquiera que aterrizara en el host. Frentes genéricos que envolvían modelos frontera multimodales — Claude, GPT, Gemini, DeepSeek, Moonshot — quedaban completamente abiertos; el equipo de Intruder contó 518 servidores envolviendo modelos frontera conocidos entre los que pudo identificar. Un chatbot abierto se convierte en una superficie de jailbreak gratuita y no atribuible para quien lo encuentre, mientras las claves API del host pagan la cuenta.

Plataformas de gestión de agentes accesibles desde internet. Consolas expuestas de Flowise y n8n revelaban chatflows completos: lógica de negocio, prompts, lista de credenciales y herramientas conectadas. Las credenciales no siempre eran legibles en claro, pero las herramientas que desbloqueaban eran invocables directamente. Intruder identificó más de 90 instancias expuestas en sectores como gobierno, marketing y finanzas — entornos donde los sistemas conectados son el verdadero objetivo.

APIs de Ollama respondiendo a “Hello”. El equipo consultó más de 5 200 servidores Ollama expuestos que anunciaban un modelo cargado y el 31 % respondió a un prompt de un solo token, confirmando la ausencia de autenticación y una ruta de inferencia activa. Ollama por sí mismo no persiste conversaciones, pero un tercio de esos endpoints estaban listos para actuar como inferencia GPU gratuita para cualquier llamador, incluidos los que enrutaban hacia proxies de modelos frontera.

Los defectos subyacentes, reducidos a una lista, son familiares desde hace veinte años de auditorías de configuración cloud:

Antipatrón "inseguro por defecto"         Caso concreto
----------------------------------------- --------------------------------------
Sin autenticación en instalación nueva    Open WebUI, Ollama, Flowise (según
                                          modo de despliegue), n8n self-hosted
Primer usuario aterriza como admin        Muchos frentes LLM self-hosted
Credenciales hardcodeadas/estáticas en    docker-compose de ejemplo copiados a
configs de ejemplo                        producción tal cual
Aplicación corriendo como root            Varios proyectos revisados
Sandbox débil o ausente para code tools   Nodos intérprete de código / escritura
                                          de fichero con alcance al host

Why it matters

Los números son útiles precisamente porque las clases de bug no lo son. Nada de esto requiere un jailbreak de modelo, una inyección de prompt indirecta ni un exploit de nivel frontera. Es la capa de hosting de LLM reproduciendo todas las plantillas de mala configuración que la herramienta cloud-native madura tardó una década en retirar.

Tres implicaciones importan para los defensores.

Primero, la superficie de ataque es en gran medida invisible al inventario tradicional. La mayoría de estos despliegues los levantan equipos de aplicación usando Docker en un VPS o en una cuenta sandbox, detrás de un certificado TLS que es la única huella duradera. La transparencia de certificados bastó a Intruder para encontrarlos; basta a un atacante para encontrar los suyos.

Segundo, el chatbot es un sistema de manejo de credenciales. Una instancia Open WebUI abierta respaldada por una clave API de pago es, funcionalmente, una cuenta no atribuible que pertenece a la próxima persona que la jailbreakee. La analogía relevante no es “registro de chat filtrado” — es “token OAuth filtrado con cuota generosa”. El estudio Amazon chatbot gone wrong de Lasso Security documenta el mismo patrón de abuso contra un bot alojado; el escaneo de Intruder encuentra el equivalente self-hosted a escala.

Tercero, el radio de impacto de las plataformas de agentes es el stack conectado. Una consola Flowise expuesta con una herramienta Airtable, Slack, Notion o base de datos interna cableada es alcanzable por un visitante no autenticado, y las divulgaciones recientes — la CVE-2026-41265 del Airtable Agent de Flowise y la clase más amplia Prompts as shells — muestran que incluso cuando las credenciales están enmascaradas, el registro de herramientas basta para obtener ejecución de código o exfiltración de datos.

Defenses

La lista de correcciones es operativa, no algorítmica. Nada exige herramientas nuevas más allá de lo que un equipo de seguridad maduro ya opera.

  1. Inventariar los endpoints de IA externos vía transparencia de certificados. Extraiga los logs CT de su propia organización, filtre los hosts que parezcan infraestructura de IA (Open WebUI, Flowise, n8n, Ollama, vLLM, LM Studio, Text Generation WebUI, LiteLLM y similares) y confirme que cada uno es intencional, autenticado y con rate-limit.

  2. Tratar la instalación por defecto como modelo de amenaza. Antes de exponer cualquier frontend de IA, verifique que la autenticación está habilitada, que la primera cuenta no es admin automático, que las credenciales se generan en la instalación en lugar de copiarse de un docker-compose de ejemplo, y que el contenedor no corre como root. El informe Intruder es explícito: no son clases de bug, son valores por defecto.

  3. Poner una frontera de credenciales entre el chatbot y la clave API. Un bot self-hosted debe mantener su propia identidad por usuario, con cuotas y auditoría, antes de poder consumir una clave API ascendente. Si su wrapper de modelo expone la clave subyacente en un endpoint de configuración o en un volcado de variables de entorno, trate el wrapper como no confiable y ponga un proxy delante.

  4. Aislar el plano de control de agentes. Flowise, n8n, Dify, LangFlow y equivalentes son consolas de gestión. Su sitio está detrás de SSO, en red interna, nunca con un certificado TLS público. Si un desarrollador necesita trabajar en remoto, enrute por VPN o gateway zero-trust, no por 0.0.0.0.

  5. Aplicar el lado “activo de IA” de la regla de dos. Para cada agente expuesto, decida antes del despliegue cuáles dos de {entrada no confiable, datos sensibles, acción externa} puede sostener la sesión, y aplique la separación a nivel de red además del nivel de prompt.

  6. Registrar inferencias y llamadas a herramientas como eventos de seguridad, no como métricas. Los logs conversacionales de chatbots abiertos y las trazas de llamadas a herramientas de plataformas de agentes son el indicador primario de abuso. Pertenecen al mismo pipeline que los fallos de autenticación, no a un silo de observabilidad aparte.

  7. Recalibrar la monitorización de superficie de ataque externa. Si su stack ASM no identifica Open WebUI, Flowise, n8n, Ollama y los proxies LiteLLM comunes, añádalos. El escaneo de Intruder demuestra que estos stacks son ya una parte dominante de la nueva superficie expuesta, no marginal.

Status

StackPatrón de exposición documentado en el escaneo de mayo de 2026Primera línea de defensa
Open WebUIHistorial de chat legible; modelos multimodales libremente usablesHabilitar autenticación, poner detrás de SSO, rotar claves ascendentes
FlowiseConsola alcanzable; chatflows, prompts e inventario de herramientas legiblesMover la consola a red privada, habilitar autenticación, auditar nodos
n8nEditor de workflows alcanzable sin autenticaciónHabilitar basic auth o SSO, restringir a red privada
Ollama31 % de los servidores sondeados respondieron a un prompt no autenticadoBindear a localhost, anteponer un reverse proxy autenticador
Frontends de chat self-hostedClaves API de Claude / GPT / Gemini expuestas en claro en la configuraciónBóveda para credenciales ascendentes, alcance por sesión

El informe Intruder está fechado el 5 de mayo de 2026. El comunicado de Trend Micro fue publicado por PR Newswire el 22 de julio de 2025, y el seguimiento de Cybernews sobre infraestructura Ollama expuesta es anterior a ambos. Tres mediciones independientes, una misma imagen: la capa de hosting de LLM se está enviando con los valores por defecto mal calibrados. La respuesta defensiva no es nueva — es el trabajo que las plataformas cloud hicieron entre 2010 y 2020, que toca repetir para un stack que aún no ha tenido que aprender la lección.

Sources