Vulnerabilidad en Ollama expuesto: 175.108 hosts de open-source AI en riesgo global

Una posible vulnerabilidad en Ollama expuesto podría convertirse en un incidente de alcance mundial: investigadores de SentinelLABS junto a los “internet mappers” de Censys han identificado 175.108 hosts únicos de Ollama accesibles desde la Internet pública en 130 países. El hallazgo apunta a una “monocultura” de despliegues de open-source AI que, ante un 0-day, podría amplificar el impacto de forma simultánea a gran escala.

La “monocultura” detrás de la vulnerabilidad en Ollama expuesto

Según el análisis, la mayoría de las instancias detectadas ejecutaban modelos populares como Llama, Qwen2 y Gemma2, con patrones similares de empaquetado y decisiones de compresión/quantization. Esa homogeneidad reduce la diversidad defensiva del ecosistema: una única debilidad en el manejo de tokens o en el comportamiento de ciertos modelos quantized podría afectar a una fracción sustancial de los sistemas expuestos, en lugar de provocar incidentes aislados.

El riesgo, subrayan los investigadores, no se limita a que un servicio de inferencia esté “visible” en Internet, sino a que se repite un mismo stack técnico a escala global. En términos de ciberseguridad, esto aumenta la probabilidad de explotación en cadena y acelera la capacidad de los atacantes para reutilizar TTPs (tactics, techniques and procedures) contra múltiples objetivos.

APIs, tool-calling y falta de guardrails: el multiplicador de impacto

El informe señala que muchas instancias expuestas no solo permitían acceso remoto al servicio, sino que además tenían habilitadas capacidades sensibles como tool-calling vía endpoints API, funciones de visión y plantillas de prompts sin censura o sin guardrails. En despliegues fuera de plataformas comerciales, la ausencia de control centralizado y de telemetría consistente puede provocar que la explotación pase desapercibida durante más tiempo, elevando el daño acumulado.

En este escenario, la vulnerabilidad en Ollama expuesto no sería un problema “de modelo” únicamente, sino un problema de superficie operativa: servicios publicados sin autenticación fuerte, endpoints accesibles externamente y funcionalidades avanzadas activadas sin un marco equivalente al de sistemas críticos expuestos.

Riesgos operativos que preocupan a los investigadores

• Resource hijacking por falta de supervisión central y control de uso, lo que facilita el abuso de cómputo.

• Remote execution o ejecución remota de operaciones privilegiadas si el sistema traduce instrucciones en acciones mediante tool-calling y carece de guardrails efectivos.

• Identity laundering y encubrimiento de tráfico malicioso redirigiendo actividad a través de infraestructura víctima.

El mensaje para la industria: tratar el open-source AI como infraestructura crítica

La conclusión de SentinelLABS y Censys es directa: los LLMs desplegados “en el edge” o accesibles externamente deben gestionarse como cualquier otro componente crítico de infraestructura, con autenticación, monitorización y controles de red adecuados. El problema no es el open-source en sí, sino el patrón recurrente de despliegues conectados a Internet con una postura de seguridad inconsistente.

En un contexto donde cada vez más productos integran inferencia local y servicios de modelos, la exposición de instancias sin controles se convierte en un riesgo sistémico para organizaciones y cadenas de suministro. La vulnerabilidad en Ollama expuesto funciona aquí como advertencia: el crecimiento de open-source AI está expandiendo la superficie de ataque a una velocidad que no siempre va acompañada de hardening operativo.

Para más contexto sobre el ecosistema y el análisis técnico, puede consultarse la investigación publicada por SentinelLABS y la información pública sobre capacidades y despliegues del proyecto en el repositorio oficial de Ollama en GitHub. En cualquier caso, el hallazgo refuerza una idea clave para CISOs y equipos de plataforma: un servicio de IA accesible públicamente debe diseñarse y auditarse con el mismo rigor que una API empresarial expuesta a Internet.