كشفت أبحاث أمنية حديثة عن وجود ما يقارب 175 ألف خادم Ollama مكشوفة بشكل عام على الإنترنت، مما يشكل مخاطر جسيمة لتنفيذ تعليمات برمجية خبيثة والوصول غير المصرح به إلى أنظمة خارجية.
تُعد Ollama إطار عمل مفتوح المصدر مصمماً لتشغيل نماذج الذكاء الاصطناعي محلياً، إلا أن تغييرات بسيطة في التهيئة من قِبل المسؤولين، دون فهم كامل لتداعياتها الأمنية، أدت إلى تعرض هذه الخوادم.
ووصف الباحثون كيف يمكن استغلال هذه الخوادم المتصلة بالإنترنت لتنفيذ تعليمات برمجية عشوائية والتفاعل مع موارد حساسة، مما يتطلب إعادة تقييم استراتيجيات تأمين البنية التحتية للذكاء الاصطناعي.
تداعيات انكشاف خوادم Ollama
ينبع هذا الانكشاف من إغفال حرج في ممارسات النشر. وبشكل افتراضي، ترتبط Ollama بعنوان محلي فقط، مما يجعلها غير قابلة للوصول من الإنترنت.
ولكن، يمكن لتغيير إعداد تهيئة بسيط، مثل ربط الخدمة بعنوان 0.0.0.0 أو واجهة عامة، أن يحول هذه الأنظمة المعزولة إلى أهداف متاحة عبر الإنترنت.
ومع انتشار نماذج الذكاء الاصطناعي مفتوحة المصدر خلال عام 2025، ظهر هذا النمط من التكوين الخاطئ على نطاق واسع، حيث امتدت عمليات النشر لتشمل 130 دولة و 4032 شبكة نظام مستقل.
تحليل التهديدات عبر SentinelLABS
حدد محللو SentinelLABS مشهد التهديدات من خلال عملية مسح شاملة استمرت 293 يوماً، بالتعاون مع Censys.
وكشفت أبحاثهم عن 7.23 مليون ملاحظة من هذه الخوادم المكشوفة، مما سلط الضوء على حجم الثغرة الأمنية وإمكانية استغلالها.
وتمثل البنية التحتية المكتشفة نقطة ضعف حاسمة في كيفية نشر المؤسسات لأنظمة الذكاء الاصطناعي وإدارتها دون ضوابط أمنية كافية.
إمكانية تنفيذ التعليمات البرمجية والوصول إلى الأنظمة الخارجية
تكمن أهم النتائج المقلقة في قدرات استدعاء الأدوات المدمجة في ما يقرب من نصف الخوادم المكشوفة.
تسمح هذه القدرات للأنظمة بتنفيذ التعليمات البرمجية، والوصول إلى واجهات برمجة التطبيقات، والتفاعل مع البنية التحتية الخارجية.
ويمتلك حوالي 38% من الخوادم المرصودة وظائف إكمال النصوص وتنفيذ الأدوات، مما يمنح المهاجمين فعلياً القدرة على تشغيل الأوامر مباشرة عبر واجهة الذكاء الاصطناعي.
عندما يقترن ذلك بضوابط مصادقة غير كافية، فإنه يخلق مساراً مباشراً لتنفيذ التعليمات البرمجية عن بعد.
خطر استدعاء الأدوات وحقن الأوامر
يمثل استدعاء الأدوات أحد أخطر جوانب نظام Ollama المكشوف. فبخلاف نقاط نهاية توليد النصوص التقليدية التي تنتج المحتوى فحسب، يمكن للأنظمة التي تدعم الأدوات أداء إجراءات.
يمكن للمهاجم صياغة أوامر محددة لخداع نماذج الذكاء الاصطناعي هذه لتنفيذ أوامر النظام أو الوصول إلى الملفات دون علم مالك الخادم.
تصبح هذه التقنية، المعروفة بحقن الأوامر (prompt injection)، قوية بشكل خاص عند استهداف الأنظمة التي تشغل عمليات توليد الاسترجاع الموسع (retrieval-augmented generation)، والتي تبحث في قواعد البيانات والوثائق للإجابة على الأسئلة.
تزايد المخاطر مع القدرات المتعددة
يتضاعف الخطر الأمني عند النظر إلى أن 22% من الخوادم المكشوفة تتمتع بقدرات رؤية، تسمح لها بتحليل الصور والمستندات.
يمكن للمهاجم تضمين تعليمات خبيثة داخل ملفات الصور، مما يخلق هجمات حقن أوامر غير مباشرة تتجاوز دفاعات الأمان التقليدية.
بالاقتران مع وظيفة استدعاء الأدوات، يصبح مثيل Ollama المكشوف منصة متعددة الاستخدامات لتنفيذ أي عملية خبيثة تقريباً.
علاوة على ذلك، تعمل 26% من الخوادم بنماذج محسّنة للتفكير يمكنها تقسيم المهام المعقدة إلى خطوات متسلسلة، مما يوفر للمهاجمين قدرات تخطيط متطورة للهجمات متعددة المراحل.
هذا التقارب في القدرات يحول أخطاء التكوين المعزولة إلى بنية تحتية موحدة للتهديدات يمكن للمنظمات الإجرامية والجهات الفاعلة المدعومة من دول استغلالها على نطاق واسع.
مخاطر التركيز والتشابه (Monoculture)
يمتد خطر التركيز إلى ما هو أبعد من اختراق النظام الفردي. يعمل حوالي 48% من الخوادم المكشوفة بنفس تنسيقات التكميم (quantization formats) وعائلات النماذج، مما يخلق ما يصفه الباحثون بـ “ثقافة أحادية” (monoculture) – نظام بيئي هش حيث يمكن لثغرة واحدة أن تؤثر على الآلاف من الأنظمة في وقت واحد.
هذا الضعف الهيكلي يعني أن المدافعين لا يمكنهم الاعتماد على التنوع للحد من انتشار الثغرات المكتشفة.
عندما توجد عيب تنفيذي واحد في تنسيق نموذج منتشر على نطاق واسع، فإن العواقب تنتشر عبر النظام البيئي المكشوف بأكمله بدلاً من أن تظل حوادث معزولة.