系统:运行中
EN FR ES ZH
← 返回所有攻击
DEFENSE MEDIUM NEW

百万暴露的 AI 服务:Intruder 扫描究竟发现了什么

2026 年 5 月 5 日,Intruder 公布了一次互联网范围扫描结果,在 200 万台主机上识别出 100 万个暴露的 AI 服务。反复出现的缺陷并不奇特:就是默认配置过于宽松。

2026-05-29 // 9 min affects: ollama, flowise, n8n, open-webui, self-hosted-llm-stacks

What is this?

2026 年 5 月 5 日,The Hacker News 发布了由 Intruder 安全团队撰写的《We Scanned 1 Million Exposed AI Services. Here’s How Bad the Security Actually Is》。该团队以证书透明度日志为种子,枚举了 200 多万台主机,识别出 100 万个暴露的 AI 服务,并在实验环境中对最常见的若干技术栈做了分诊。他们的结论原话是:“我们扫描过的 AI 基础设施,比我们调查过的任何其他软件都更脆弱、更暴露、配置更糟糕”。

本文报道这份报告,并非因为它揭示了一种新的漏洞类别,而是因为它用一种可复现的方法量化了一个大多数 LLM 安全文章仍当作”个案”的问题。Trend Micro 的《Fault Lines in the AI Ecosystem》报告及其关于暴露 AI 服务器的新闻稿从另一个角度印证了同一模式;Cybernews 此前已记录过 17.5 万多个暴露的 AI 系统,包括未鉴权的 Ollama 实例。三份独立测量给出了一致的信号。

How it works

Intruder 的报告中没有新型攻击。方法论就是规模化应用的常规侦察,失败模式则在设计层面。报告所述的暴露类别足够稳定,可以归纳为一个工作流程。

阶段                            未鉴权扫描器能看到什么
-----------------------------  -----------------------------------------------
1. 发现                         证书透明度日志 → 约 200 万运行 AI 相关服务的
                               候选主机
2. 指纹识别                     开放端口以项目横幅响应
                               (Open WebUI、Flowise、n8n、Ollama 等)
3. 鉴权探测                     向 "/" 或模型端点发起无 header 请求 → 许多
                               返回内容,而非 401/403
4. 能力探测                     向声明已加载模型的 Ollama API 发送一个无害
                               提示("Hello")
5. 配置探测                     读取 docker-compose、env 文件、官方文档中
                               的默认凭证
6. 工具清点                     对智能体平台(Flowise、n8n)列出节点、
                               凭证、提示词及连接的工具

三个发现承担了大部分影响。

**前置无鉴权的聊天机器人。**基于 Open WebUI 的实例把用户完整的 LLM 对话历史暴露给任何到达该主机的人。包装多模态前沿模型(Claude、GPT、Gemini、DeepSeek、Moonshot)的通用前端完全开放;Intruder 团队在其能够识别的服务器中数到 518 台包装知名前沿模型的服务器。开放的聊天机器人变成了任何发现者都能免费、不可归责地利用的越狱面,而账单由主机的 API 密钥支付。

可从互联网访问的智能体管理平台。暴露的 Flowise 与 n8n 控制台暴露了完整的 chatflow:业务逻辑、提示词、凭证列表以及连接的工具。凭证并不总以明文可读,但它们解锁的工具可被直接调用。Intruder 在政府、营销与金融行业识别出超过 90 个暴露的此类实例——这些环境里,连接的系统本身才是真正的目标。

**Ollama API 回应 “Hello”。**团队向 5200 多台声明已加载模型的暴露 Ollama 服务器发送一个一字提示,31% 给出了回应,证实了未鉴权状态与活跃的推理路径。Ollama 本身不保留对话,但其中三分之一的端点已准备好为任何调用者充当免费的 GPU 推理后端,其中也包括被路由到前沿模型代理的端点。

把潜在缺陷列成清单,这些都是云配置审计二十年来反复见到的老面孔:

"默认不安全"反模式                       具体实例
----------------------------------------- --------------------------------------
新装无鉴权                              Open WebUI、Ollama、Flowise(依部署
                                          方式而定)、自托管 n8n
首位用户即管理员                        许多自托管 LLM 前端
示例配置中硬编码 / 静态凭证             被原样复制到生产的示例 docker-compose
应用以 root 身份运行                    多个审视过的项目
代码工具沙箱薄弱或缺失                  具有主机级访问的代码解释器 / 文件写入
                                          节点

Why it matters

数字之所以有用,恰恰是因为漏洞类别毫无新意。所有这些都不需要模型越狱、间接提示注入或前沿级漏洞利用。这是 LLM 托管层在重演成熟的云原生工具花了十年时间清退的所有错误配置范式。

防御者需要关注三点含义。

第一,这种攻击面对传统资产清单基本不可见。这些部署大多由应用团队用 Docker 部署在 VPS 或沙箱账户里,身后只有一张 TLS 证书作为持久痕迹。证书透明度足以让 Intruder 找到它们;同样也足以让攻击者找到您的。

第二,聊天机器人本质上是一个凭证处理系统。一个挂着付费 API 密钥的开放 Open WebUI 实例,在功能上等同于一张归属于”下一个越狱它的人”的不可归责的账户。合适的类比不是”对话日志泄露”,而是”配额慷慨的 OAuth 令牌泄露”。Lasso Security 的《Amazon chatbot gone wrong》研究记录了针对托管机器人的同一滥用模式,而 Intruder 的扫描在自托管端规模化地发现了同一现象。

第三,智能体平台的爆炸半径就是其连接的整条技术栈。一个暴露的 Flowise 控制台,如果接入了 Airtable、Slack、Notion 或内部数据库工具,未鉴权访客即可达到;近期的披露——Flowise Airtable Agent 的 CVE-2026-41265 以及更宽泛的《Prompts as shells》类别——表明,即使凭证被屏蔽,工具注册表本身就足以达成代码执行或数据外泄。

Defenses

修复清单是运营层面的,而非算法层面的。任何一项都不需要成熟安全团队已有工具之外的新工具。

  1. **用证书透明度盘点对外可达的 AI 端点。**拉取您自身组织的 CT 日志,过滤看似 AI 基础设施的主机(Open WebUI、Flowise、n8n、Ollama、vLLM、LM Studio、Text Generation WebUI、LiteLLM 等),逐一确认每一个都是有意暴露、已鉴权且有速率限制的。

  2. **把默认安装当作威胁模型对待。**在暴露任何 AI 前端之前,确认已启用鉴权、首个账户不是自动管理员、凭证是在安装时生成而非从示例 docker-compose 拷贝、容器不以 root 运行。Intruder 报告说得很清楚:这些不是漏洞类别,而是默认值。

  3. **在聊天机器人与 API 密钥之间设立凭证边界。**自托管机器人在被允许消费上游 API 密钥之前,必须持有按用户区分的身份、配额与审计。如果您的模型封装层在某个配置端点或环境变量转储中暴露了底层密钥,应将该封装层视为不可信,在其前面加一层代理。

  4. **隔离智能体控制平面。**Flowise、n8n、Dify、LangFlow 及同类是管理控制台,理应放在 SSO 之后、内网之内,绝不应挂在公网 TLS 证书上。若开发者需要远程工作,通过 VPN 或零信任网关进入,而不是绑定 0.0.0.0

  5. **应用二选其二原则的”AI 资产”侧。**为每一个暴露的智能体在部署前决定:会话可同时持有 {不可信输入, 敏感数据, 外部行动} 中的哪两个,并在网络层与提示层共同执行该切分。

  6. **把推理与工具调用作为安全事件记录,而非指标。**开放聊天机器人的对话日志与智能体平台的工具调用轨迹,是滥用的主要指标。它们应与鉴权失败属于同一管线,而不是被丢到一个独立的可观测性数据池里。

  7. **重新校准您的对外攻击面监控。**如果您的 ASM 栈不识别 Open WebUI、Flowise、n8n、Ollama 以及常见的 LiteLLM 代理,请把它们加进去。Intruder 的扫描表明,这些技术栈如今已是新增暴露面的主流构成,而不是边缘部分。

Status

技术栈2026 年 5 月扫描中记录的暴露模式第一道防线
Open WebUI聊天历史可读;多模态模型可任意使用启用鉴权、置于 SSO 之后、轮换上游密钥
Flowise控制台可达;chatflow、提示词与工具清单可读将控制台迁入私网、启用鉴权、审计节点
n8n工作流编辑器无鉴权可达启用 basic auth 或 SSO,限制为私网访问
Ollama被探测的服务器中 31% 响应了未鉴权提示仅绑定 localhost,前置具备鉴权的反向代理
自托管聊天前端Claude / GPT / Gemini 的 API 密钥以明文出现在配置中把上游凭证放入保险库,按会话授权

Intruder 报告日期为 2026 年 5 月 5 日。Trend Micro 的说明经 PR Newswire 于 2025 年 7 月 22 日发布,Cybernews 对暴露 Ollama 基础设施的跟踪更早于两者。三份独立测量,一幅一致的图景:LLM 托管层正在以”默认值方向错误”的状态出货。防御层面的应答并不新鲜——它就是云平台在 2010 至 2020 年间已完成的工作,只是要在一个尚未被迫学到这一课的技术栈上重做一遍。

Sources