AI服务安全测评：扫描百万暴露实例揭示的严峻风险与防护指南

ClawdBot事件（这款自托管AI助手因日均曝出2.6个CVE漏洞而引发广泛关注）之后，我们有必要审视当前AI基础设施的真实安全水位。

软件行业数十年构建的安全交付体系正面临严峻考验。企业竞相部署自有大语言模型基础设施，背后是AI作为生产力引擎的巨大诱惑与快速交付的市场压力。然而，对速度的极致追求，往往直接侵蚀了安全性的根基。

通过对证书透明度日志的分析，我们获取了超过200万台主机及100万项暴露服务的数据。结论触目惊心：本次扫描的AI基础设施，其脆弱性、暴露面和配置混乱程度，远超以往任何一次针对传统软件的调查。

默认失效的认证机制

一个危险模式迅速显现：大量主机直接沿用开箱即用的默认配置，完全未启用任何认证。根源在于项目源码——多个流行项目的默认状态便是关闭认证功能。这意味着，真实的用户数据与内部工具，正毫无防护地暴露于公网，其后果从声誉受损到全面沦陷，不一而足。

以下是几种最典型的暴露场景：

门户洞开的聊天机器人

我们发现了多例基于OpenUI等框架构建的聊天机器人，其完整的用户对话历史直接暴露。表面是聊天记录，但在企业语境下，这些对话常包含敏感的商业情报。更严重的是，部分支持多模态功能的通用聊天机器人可被任意调用。恶意用户可尝试“越狱”模型，突破其安全护栏——例如生成违规内容或获取犯罪指导——且因使用他人基础设施，自身无需承担任何后果。这并非理论风险：我们已观察到有人通过企业暴露的机器人免费调用高性能模型，所有操作均不会关联到个人账户。

某些涉及大量私密对话的机器人情况更为严峻。更有甚者，部分由Claude驱动的机器人，其API密钥竟以明文形式暴露。

无防护的智能体管理平台

在n8n、Flowise这类自动化工作流与智能体管理平台中，我们也发现了大量公网暴露实例。部分实例被误判为仅限内网访问，却意外地直接面向互联网。其中最典型的案例是，某个Flowise实例完整暴露了其背后LLM聊天机器人服务的全部业务逻辑。虽然Flowise界面未向未认证访客直接展示凭据明文，但攻击者仍可利用关联的工具与接口窃取敏感数据。

这类平台的风险在于，AI工具普遍缺乏完善的访问控制链。一旦攻破某个集成了第三方系统的机器人，往往意味着能掌控其关联的所有资源。在另一案例中，暴露的配置包含了网络解析工具及危险的本地功能（如文件写入与代码解释），这使得在服务器端执行任意代码成为可能。

我们在政府、营销、金融等多个领域发现了超过90个此类暴露实例。所有聊天机器人的工作流、提示词以及外部访问权限均门户大开。攻击者可轻易篡改工作流、劫持流量、泄露用户数据或污染输出结果。

无认证的Ollama API接口

最令人意外的发现，是大量Ollama的API接口在已加载模型的情况下，竟无需任何认证。我们向5,200多台显示已连接模型的服务器发送了简单的“Hello”测试请求，其中31%的服务器直接作出了响应。这些回复揭示了API的实际用途（出于道德约束，我们未深入探查），例如：

“遵命，主人。您的命令就是我的法则。请直言您的需求，我将毫不犹豫地执行。”
“我将协助您解决健康问题，无论是焦虑、睡眠障碍还是其他困扰。”
“欢迎访问云管理系统集成AI助手，可处理运维任务、基础设施部署及服务查询。”

虽然Ollama本身不直接存储对话数据，但许多实例封装了Anthropic、Deepseek、Moonshot、Google和OpenAI的付费前沿模型。在所有服务器中，我们共发现了518个封装了知名前沿模型的实例。

原生设计缺陷

深入分析这些暴露案例，背后普遍存在以下几类安全隐患：

• 草率的部署实践：不安全的默认配置、错误的Docker设置、硬编码的凭证、以root权限运行应用。
• 全新安装即开放高权限：多个项目在默认状态下，会授予用户完整的管理权限。
• 硬编码静态凭证：直接将配置示例和docker-compose文件中的默认凭证嵌入项目，而非在安装时动态生成。
• 新型技术漏洞：仅在实验室分析数日，就在某个流行AI项目中发现了可导致任意代码执行的漏洞。

当AI智能体具备代码解释等高级能力时，这些配置失误的危害将被指数级放大。若沙箱防护薄弱，且整个基础设施未部署在隔离区（DMZ），安全事件的“爆炸半径”将急剧扩大。

速度优先，安全失位

当前，部分LLM基础设施项目显然为了追求极致的交付速度，几乎搁置了过去数十年积累的基础安全实践。当然，这并非仅是供应商单方面的问题。整个AI应用浪潮带来的巨大竞争压力，才是根本驱动力。企业都在全速追赶，唯恐落后半步。

关键在于，切勿坐等攻击者率先发现您那些暴露在外的AI基础设施。主动扫描、识别并修复配置失误，才是构建有效防御的前置条件。