Ein Forschungsbericht von SentinelLABS und dem Cybersicherheitsunternehmen Censys zeigt die bislang kaum beleuchtete Dimension offener KI-Infrastrukturen. Demnach sind weltweit über 175.000 Instanzen des Open-Source-Frameworks Ollama über das Internet zugänglich – oft ohne jegliche Zugangsbeschränkung oder Sicherheitsüberwachung. Die Systeme operieren außerhalb der etablierten Plattform-Schutzmechanismen und stellen eine neue, unregulierte Schicht verteilter KI-Rechenleistung dar.

Weitreichende Angriffsfläche 

Über einen Zeitraum von fast zehn Monaten scannten die Forscher öffentlich erreichbare Ollama-Hosts und dokumentierten mehr als 7,2 Millionen Beobachtungen in 130 Ländern. Der Bericht beschreibt eine klare Struktur: Während ein Großteil der Systeme nur kurzzeitig online ist, existiert ein stabiler Kern von rund 23.000 dauerhaften Instanzen, der den Löwenanteil der Aktivität erzeugt. Gerade diese Systeme bieten laut Analyse besonders viel Angriffsfläche, da sie rund um die Uhr verfügbar sind und vielfach über sogenannte Tool-Calling-Funktionen verfügen, mit denen sie Code ausführen oder mit externen Diensten interagieren können.

Die Infrastruktur ist global verteilt, jedoch technisch homogen. Nahezu die Hälfte der beobachteten Systeme nutzt dieselben Modellfamilien und identische Quantisierungsformate, darunter insbesondere das stark verbreitete Format" Q4_K_M". Diese Standardisierung vereinfacht zwar die lokale Nutzung auf handelsüblicher Hardware, erhöht aber zugleich die Verwundbarkeit des gesamten Ökosystems gegenüber gezielten Angriffen auf gängige Schwachstellen.

Betrieb in Heimnetzen

Hinzu kommt: Ein erheblicher Teil der Systeme befindet sich nicht in klassischen Cloud-Rechenzentren, sondern in Heimnetzen oder bei kleineren Hosting-Anbietern. Dies erschwert nicht nur die Zuordnung und Kontaktaufnahme im Falle von Missbrauch, sondern unterläuft auch gängige Sicherheits- und Governance-Mechanismen wie Abuse-Meldungen oder die Sperrung verdächtiger Instanzen durch Plattformbetreiber.

Die Studie warnt eindringlich vor der wachsenden Gefahr durch ungeschützte, automatisierungsfähige KI-Endpunkte. Angriffe durch Prompt-Injection, Identitätsverschleierung oder der Missbrauch der Rechenleistung für Spam- oder Desinformationskampagnen könnten künftig nicht mehr nur über zentrale Plattformen erfolgen, sondern dezentral und schwer nachverfolgbar über eine Vielzahl selbst betriebener Instanzen. Sicherheitsverantwortliche müssten daher lokale KI-Systeme künftig wie klassische Server behandeln – inklusive Zugangskontrollen, Monitoring und klar definierter Zuständigkeiten.