Si bien la industria del software ha avanzado en la entrega segura de productos, la rápida adopción de la IA está poniendo en peligro ese progreso. Las empresas se apresuran a autoalojar infraestructura de Modelos de Lenguaje Grandes (LLM), priorizando la velocidad sobre la seguridad. A raíz del incidente de **ClawdBot**, un asistente de IA autoalojado plagado de vulnerabilidades, el equipo de **Intruder** investigó la postura de seguridad de la infraestructura de IA. Utilizando registros de transparencia de certificados, analizaron más de 2 millones de hosts con 1 millón de servicios expuestos, revelando brechas de seguridad significativas. ## Sin Autenticación por Defecto Un problema recurrente fue el despliegue de hosts sin autenticación. El análisis del código fuente reveló que muchos proyectos de IA no habilitan la autenticación por defecto, dejando expuestos datos de usuarios y herramientas de la empresa. ### Chatbots de Acceso Libre Muchas instancias involucraron chatbots que exponían conversaciones de usuarios. Un ejemplo, basado en **OpenUI**, reveló el historial completo de conversaciones de LLM de los usuarios. En entornos empresariales, estos historiales de chat pueden contener información sensible.  Los chatbots genéricos que alojan diversos modelos, incluidos LLMs multimodales, también eran de acceso libre. Los actores maliciosos pueden realizar jailbreak a estos modelos para eludir las medidas de seguridad para actividades ilícitas, aprovechando la infraestructura de la empresa sin consecuencias. Ya se han observado abusos de chatbots corporativos, con usuarios accediendo a modelos más capaces sin la autorización adecuada. Algunos chatbots incluso expusieron grandes volúmenes de conversaciones personales NSFW, y el software reveló claves API de bots impulsados por **Claude** en texto plano.  ### Plataformas de Gestión de Agentes Ampliamente Abiertas Se descubrieron instancias expuestas de plataformas de gestión de agentes como **n8n** y **Flowise**, con algunas destinadas a uso interno accesibles sin autenticación. Una instancia de **Flowise** expuso la lógica de negocio completa de un servicio de chatbot LLM.  Si bien **Flowise** no reveló directamente valores de credenciales almacenados, los atacantes podrían explotar las herramientas conectadas para exfiltrar información sensible. La falta de controles de gestión de acceso adecuados en las herramientas de IA significa que el acceso a un bot a menudo otorga acceso a todos los sistemas conectados. Otra configuración expuesta reveló herramientas de análisis de internet y funciones locales potencialmente peligrosas, como escrituras de archivos e interpretación de código, lo que permite la ejecución de código del lado del servidor.  Se identificaron más de 90 instancias expuestas en varios sectores, incluidos gobierno, marketing y finanzas. Los atacantes podrían modificar flujos de trabajo, redirigir tráfico, exponer datos de usuarios o envenenar respuestas. ### Dando la Bienvenida a APIs de Ollama Inseguras Se accedió a un número significativo de APIs de **Ollama** expuestas sin autenticación y conectadas a un modelo. Una simple solicitud de "Hola" enviada a estos servidores arrojó respuestas del 31% de los más de 5.200 servidores consultados. Las respuestas revelaron los diversos usos de estas APIs, incluidas integraciones con sistemas de gestión en la nube y asistencia de salud y bienestar. Si bien **Ollama** no almacena mensajes directamente, muchas instancias envolvían modelos de vanguardia de pago de **Anthropic**, **Deepseek**, **Moonshot**, **Google** y **OpenAI**. 518 modelos identificados en todos los servidores envolvían modelos de vanguardia conocidos. ## Inseguro por Diseño Un análisis adicional reveló patrones inseguros recurrentes: * **Malas prácticas de implementación:** Configuraciones predeterminadas inseguras, configuraciones de Docker mal configuradas, credenciales codificadas y aplicaciones ejecutándose como root. * **Sin autenticación en instalaciones nuevas:** A menudo se otorga a los usuarios cuentas de alto privilegio con acceso de gestión completo de inmediato. * **Credenciales codificadas y estáticas:** Las credenciales a menudo se incrustan en ejemplos de configuración y archivos docker-compose en lugar de generarse en la instalación. * **Nuevas vulnerabilidades técnicas:** Se descubrieron rápidamente vulnerabilidades de ejecución de código arbitrario en proyectos populares de IA.