开源大模型暗流涌动:数千个无人看管的AI实例正被黑客利用
最近,网络安全公司 SentinelOne 和 Censys 联合发布了一份长达300天的调查报告,揭露了一个鲜为人知却极其危险的现实:成千上万个开源大语言模型,正被黑客在私人服务器上肆意操控,成为网络犯罪的“隐形武器”。
这些模型大多基于 Meta 的 Llama 和 Google 的 Gemma 开发,原本是为研究、教育和企业内部使用而开源的。但当它们被部署在没有防火墙、没有访问控制、甚至没有密码保护的服务器上时,就变成了敞开大门的靶子。研究发现,互联网上至少有数千个这样的“裸奔”AI实例,其中不少已被入侵。
最令人震惊的是,攻击者不仅能远程调用这些模型,还能直接读取甚至篡改它们的“核心指令”——也就是系统提示词(system prompt)。在约四分之一的被监测实例中,黑客可以轻松看到模型的底层指令;而在其中7.5%的案例里,这些指令已经被改写,专门用来生成钓鱼邮件、伪造新闻、诱导用户泄露密码,甚至编写恶意代码。
从钓鱼邮件到儿童内容:AI犯罪的现实链条
这些被劫持的AI模型,早已不是实验室里的玩具。它们正在被用于真实世界的犯罪活动:
- 精准钓鱼攻击:攻击者用AI模仿公司高管语气,生成高度逼真的内部邮件,诱导员工转账或点击恶意链接。已有企业因此损失数百万美元。
- 虚假信息规模化:在选举期间,有团伙利用AI批量生成政治谣言,发布在社交平台和论坛,制造社会对立。
- 隐私泄露新途径:部分被入侵模型被训练成“问答机器人”,诱导用户输入身份证号、银行卡号、家庭住址等敏感信息,再悄悄记录。
- 非法内容生成:研究人员已发现模型被用于生成暴力、仇恨言论,甚至涉及儿童安全的违法内容——这些内容绕开了主流平台的审核机制,传播更隐蔽。
与OpenAI、Anthropic等大厂的封闭模型不同,这些开源实例没有内容过滤、没有日志审计、没有人工监控。一旦部署,就等于把一把全自动的“犯罪工具”扔进了互联网的角落,而没人知道它在哪。
谁在运行这些危险的AI?答案令人不安
研究团队特别关注了使用 Ollama 工具部署的模型——这是目前开发者最常用的本地运行工具之一。数据显示,超过六成的Ollama实例部署在云服务器或家庭NAS设备上,其中近三成使用默认配置,连基本的登录认证都没有开启。
更可怕的是,这些实例的拥有者,很多根本不知道自己运行的是什么。有人是技术人员为了“试一试”下载了模型;有人是学生做课程项目后忘了关闭;还有人是用二手服务器转手租用,却不知道上面早已被植入了恶意AI服务。
一位匿名安全研究员告诉媒体:“我们曾追踪到一个部署在东欧某VPS上的Llama 3实例,它每天自动生成超过12万条英文钓鱼邮件。服务器主人是位退休工程师,他根本不知道自己电脑上跑着什么。”
你可能正无意中帮了黑客
这不是遥远的威胁,而是正在发生的现实。如果你是开发者、企业IT人员,或者只是喜欢折腾AI工具的普通用户,请问自己几个问题:
- 你是否在公网服务器上运行过Llama、Gemma或其他开源模型?
- 你有没有修改过默认的系统提示词?有没有设置访问密码?
- 你的模型是否通过端口直接暴露在互联网上?(比如:http://your-ip:11434)
如果你的答案是“是”,那你可能已经成了网络犯罪的帮凶——哪怕你本意只是“玩一玩”。
如何保护自己,也保护他人
如果你正在运行开源AI模型,请立即采取以下措施:
- 关闭公网访问:除非必要,不要把模型端口(如11434)暴露在互联网上。用内网访问或VPN连接。
- 设置身份验证:为Ollama、LocalAI等工具配置用户名密码,或使用API密钥。
- 定期检查系统提示词:确保你没有无意中注入了“忽略安全限制”之类的指令。
- 监控异常流量:如果你的服务器CPU持续满载、带宽异常飙升,可能是被用来生成内容了。
- 及时关闭不用的实例:测试完就关掉,别让它在后台“睡觉”。
开源不是无主之地。每一个被忽略的默认设置,都可能成为犯罪分子的入口。别让“玩AI”的乐趣,变成别人的噩梦。