Embora a indústria de software tenha avançado na entrega segura de produtos, a rápida adoção de IA está comprometendo esse progresso. As empresas estão correndo para auto-hospedar infraestruturas de Large Language Model (LLM), priorizando a velocidade em detrimento da segurança. Na esteira do incidente **ClawdBot** — um assistente de IA auto-hospedado repleto de vulnerabilidades — a equipe da **Intruder** investigou a postura de segurança da infraestrutura de IA. Usando logs de transparência de certificados, eles analisaram mais de 2 milhões de hosts com 1 milhão de serviços expostos, revelando lacunas de segurança significativas. ## Sem Autenticação por Padrão Um problema recorrente foi a implantação de hosts sem autenticação. A análise do código-fonte revelou que muitos projetos de IA não habilitam a autenticação por padrão, deixando dados de usuários e ferramentas corporativas expostos. ### Chatbots Acessíveis Livremente Muitas instâncias envolviam chatbots expondo conversas de usuários. Um exemplo, baseado no **OpenUI**, revelou o histórico completo de conversas LLM dos usuários. Em ambientes corporativos, esses históricos de chat podem conter informações confidenciais.  Chatbots genéricos hospedando diversos modelos, incluindo LLMs multimodais, também estavam acessíveis livremente. Atores maliciosos podem fazer jailbreak nesses modelos para contornar medidas de segurança para atividades ilícitas, aproveitando a infraestrutura da empresa sem consequências. Abusos de chatbots corporativos já foram observados, com usuários acessando modelos mais capazes sem autorização adequada. Alguns chatbots até expuseram grandes volumes de conversas NSFW pessoais, com o software revelando chaves de API de bots com tecnologia **Claude** em texto puro.  ### Plataformas de Gerenciamento de Agentes Amplamente Abertas Instâncias expostas de plataformas de gerenciamento de agentes como **n8n** e **Flowise** foram descobertas, com algumas destinadas ao uso interno acessíveis sem autenticação. Uma instância **Flowise** expôs toda a lógica de negócios de um serviço de chatbot LLM.  Embora o **Flowise** não tenha revelado diretamente valores de credenciais armazenados, atacantes poderiam explorar as ferramentas conectadas para exfiltrar informações confidenciais. A falta de controles adequados de gerenciamento de acesso em ferramentas de IA significa que o acesso a um bot muitas vezes concede acesso a todos os sistemas conectados. Outra configuração exposta revelou ferramentas de análise de internet e funções locais potencialmente perigosas, como gravação de arquivos e interpretação de código, permitindo a execução de código do lado do servidor.  Mais de 90 instâncias expostas foram identificadas em vários setores, incluindo governo, marketing e finanças. Atacantes poderiam modificar fluxos de trabalho, redirecionar tráfego, expor dados de usuários ou envenenar respostas. ### Dando Boas-Vindas a APIs Ollama Inseguras Um número significativo de APIs **Ollama** expostas estava acessível sem autenticação e conectada a um modelo. Um simples prompt "Olá" enviado a esses servidores gerou respostas de 31% dos mais de 5.200 servidores consultados. As respostas revelaram os diversos usos dessas APIs, incluindo integrações com sistemas de gerenciamento de nuvem e assistência de saúde e bem-estar. Embora o **Ollama** não armazene mensagens diretamente, muitas instâncias envolviam modelos de ponta pagos da **Anthropic**, **Deepseek**, **Moonshot**, **Google** e **OpenAI**. 518 modelos identificados em todos os servidores envolviam modelos de ponta conhecidos. ## Inseguro por Design Análises adicionais revelaram padrões inseguros recorrentes: * **Práticas de implantação ruins:** Padrões inseguros, configurações incorretas de Docker, credenciais hardcoded e aplicativos rodando como root. * **Sem autenticação em instalações novas:** Os usuários geralmente recebem contas de alto privilégio com acesso total de gerenciamento imediatamente. * **Credenciais hardcoded e estáticas:** As credenciais são frequentemente incorporadas em exemplos de configuração e arquivos docker-compose em vez de serem geradas na instalação. * **Novas vulnerabilidades técnicas:** Vulnerabilidades de execução arbitrária de código foram rapidamente descobertas em projetos populares de IA.