黑客正在劫持未受保护的人工智能模型以窃取计算能力

据报道，约有 175,000 台私人服务器暴露在公共互联网上，使黑客有机会进行非法活动。. 

该问题由安全研究机构 SentinelOne 和 Censys 报告，他们在 300 多天内 trac了 723 万条观测数据。. 

黑客利用 Ollama 设置

最近的一份报告发现，超过 17.5 万台私人人工智能服务器dent暴露在互联网上。这些系统使用 Ollama，这是一款开源软件，允许用户在自己的计算机上运行强大的 AI 模型，例如 Meta 的 Llama 或Google 的 Gemma ，而无需使用像 ChatGPT 这样的网站。

默认情况下，Ollama 只与安装它的计算机通信。但是，用户可以更改设置以方便远程访问，这可能会dent地将整个系统暴露在公共互联网上。.

他们 trac了近300天内的723万条观测数据，发现虽然许多人工智能“主机”是临时的，但其中约有2.3万个几乎一直在线。这些“始终在线”的系统是黑客的理想目标，因为它们提供了免费且功能强大的硬件，而且不受任何大型科技公司的监控。.

在美国，约18%的此类暴露系统位于弗吉尼亚州，这很可能是由于数据中心。在中国，30%的主机位于北京。

令人惊讶的是，所有这些暴露的AI系统中，有56%运行在家庭或dent网络连接上。这是一个重大问题，因为黑客可以利用这些家庭IP地址来隐藏他们的dent。. 

当黑客通过某人的家庭人工智能发送恶意信息时，看起来就像是来自普通人而不是犯罪僵尸网络。.

犯罪分子是如何利用这些被劫持的人工智能系统的？

据Pillar Security称，一个名为“奇异集市行动”（Operation Bizarre Bazaar）的新型犯罪网络正在积极搜寻这些暴露的AI终端。他们寻找运行在默认端口11434上且无需密码的系统。一旦找到目标，他们就会窃取其“计算资源”，并将其出售给其他想要以低价运行AI任务的人，例如生成数千封钓鱼邮件或创建深度伪造内容。.

2025年10月至2026年1月期间，安全公司GreyNoise记录了超过91403次针对这些人工智能系统的攻击。他们发现了两种主要类型的攻击。. 

• 第一种方法使用一种称为服务器端请求伪造 (SSRF) 的技术，强制 AI 连接到黑客自己的服务器。. 
• 第二种方法是大规模的“扫描”活动，黑客会发送数千个简单的问题，以准确找出正在运行的 AI 模型及其功能。.

这些系统中约有 48% 配置为“工具调用”模式。这意味着人工智能可以与其他软件交互、搜索网络或读取计算机上的文件。. 

如果黑客发现这样的系统，他们可以使用“提示注入”来欺骗人工智能。他们不会要求人工智能朗诵诗歌，而是会指示人工智能“列出代码库中的所有API密钥”或“概括项目的机密文件”。由于没有人工监控，人工智能通常会执行这些指令。.

Check Point 发布的《2026 年网络安全报告》显示，2023 年至 2025 年间，网络攻击总数增加了 70%。2025 年 11 月，Anthropic 报告了首例有记录的由人工智能策划的网络间谍活动案例，其中一个国家支持的组织利用人工智能代理在没有人类帮助的情况下完成了 80% 的黑客攻击。.

本月就发现了几个新的漏洞，例如 CVE-2025-1975 和 CVE-2025-66959。这些漏洞允许黑客通过发送特制的模型文件来使 Ollama 服务器崩溃。. 

由于其中 72% 的主机使用同一种名为 Q4_K_M 的特定文件格式，一次成功的攻击可能会同时导致数千个系统瘫痪。.

加密交易社区中申请免费席位- 仅限 1,000 名成员。