Alors que l'industrie du logiciel a fait des progrès en matière de livraison de produits sécurisés, l'adoption rapide de l'IA compromet ces progrès. Les entreprises se précipitent pour auto-héberger l'infrastructure de Large Language Model (LLM), privilégiant la vitesse à la sécurité. Suite à l'incident de **ClawdBot** – un assistant IA auto-hébergé truffé de vulnérabilités – l'équipe d'**Intruder** a enquêté sur la posture de sécurité de l'infrastructure IA. En utilisant les journaux de transparence des certificats, ils ont analysé plus de 2 millions d'hôtes avec 1 million de services exposés, révélant des lacunes de sécurité importantes. ## Aucune authentification par défaut Un problème récurrent était le déploiement d'hôtes sans authentification. L'analyse du code source a révélé que de nombreux projets IA n'activent pas l'authentification par défaut, laissant les données des utilisateurs et les outils de l'entreprise exposés. ### Chatbots librement accessibles De nombreuses instances impliquaient des chatbots exposant les conversations des utilisateurs. Un exemple, basé sur **OpenUI**, a révélé l'historique complet des conversations LLM des utilisateurs. Dans les environnements d'entreprise, ces historiques de chat peuvent contenir des informations sensibles.  Des chatbots génériques hébergeant divers modèles, y compris des LLM multimodaux, étaient également librement accessibles. Les acteurs malveillants peuvent jailbreaker ces modèles pour contourner les mesures de sécurité à des fins illicites, en exploitant l'infrastructure de l'entreprise sans conséquences. Des abus de chatbots d'entreprise ont déjà été observés, les utilisateurs accédant à des modèles plus performants sans autorisation appropriée. Certains chatbots exposaient même de grands volumes de conversations NSFW personnelles, le logiciel révélant les clés API des bots alimentés par **Claude** en texte brut.  ### Plateformes de gestion d'agents largement ouvertes Des instances exposées de plateformes de gestion d'agents comme **n8n** et **Flowise** ont été découvertes, certaines destinées à un usage interne étant accessibles sans authentification. Une instance **Flowise** a exposé toute la logique métier d'un service de chatbot LLM.  Bien que **Flowise** n'ait pas directement révélé de valeurs d'identifiants stockées, les attaquants pourraient exploiter les outils connectés pour exfiltrer des informations sensibles. Le manque de contrôles de gestion d'accès appropriés dans les outils IA signifie que l'accès à un bot accorde souvent l'accès à tous les systèmes connectés. Une autre configuration exposée a révélé des outils d'analyse Internet et des fonctions locales potentiellement dangereuses, telles que des écritures de fichiers et l'interprétation de code, permettant l'exécution de code côté serveur.  Plus de 90 instances exposées ont été identifiées dans divers secteurs, notamment le gouvernement, le marketing et la finance. Les attaquants pourraient modifier les flux de travail, rediriger le trafic, exposer les données des utilisateurs ou empoisonner les réponses. ### Salutations aux API Ollama non sécurisées Un nombre important d'API **Ollama** exposées étaient accessibles sans authentification et connectées à un modèle. Une simple invite "Hello" envoyée à ces serveurs a produit des réponses de 31% des plus de 5 200 serveurs interrogés. Les réponses ont révélé les diverses utilisations de ces API, y compris les intégrations avec les systèmes de gestion cloud et l'assistance à la santé et au bien-être. Bien que **Ollama** ne stocke pas les messages directement, de nombreuses instances encapsulaient des modèles de pointe payants de **Anthropic**, **Deepseek**, **Moonshot**, **Google** et **OpenAI**. 518 modèles identifiés sur tous les serveurs encapsulaient des modèles de pointe bien connus. ## Insecure by Design Une analyse plus approfondie a révélé des modèles récurrents d'insécurité : * **Mauvaises pratiques de déploiement :** Défauts non sécurisés, configurations Docker mal configurées, identifiants codés en dur et applications s'exécutant en tant que root. * **Aucune authentification lors des installations fraîches :** Les utilisateurs reçoivent souvent des comptes à privilèges élevés avec un accès de gestion complet immédiatement. * **Identifiants codés en dur et statiques :** Les identifiants sont souvent intégrés dans des exemples de configuration et des fichiers docker-compose au lieu d'être générés lors de l'installation. * **Nouvelles vulnérabilités techniques :** Des vulnérabilités d'exécution de code arbitraire ont été rapidement découvertes dans des projets IA populaires.