Bishop Fox liberó AIMap como open-source — un scanner estilo Nmap para infraestructura AI que hace discovery, fingerprinting, risk scoring, vulnerability testing y visualization a través de la superficie AI. La cobertura incluye servidores MCP, Ollama, vLLM, LiteLLM, LocalAI, LangServe, LangChain, Open WebUI, LibreChat, Gradio, Streamlit, ComfyUI, Stable Diffusion, Hugging Face TGI y APIs de inferencia genéricas. El número que aterriza en la cobertura del lanzamiento y que probablemente debería hacer a los builders auditar sus stacks: 175.000+ instancias Ollama alcanzables en internet público, **aproximadamente 91% sin autenticación configurada**. No es una vulnerabilidad en Ollama — Ollama está haciendo lo que le pediste que haga — son operadores desplegando servidores local-LLM sin reconocer que los están shipeando a internet.

La arquitectura es directa: Discovery vía Shodan con 32 firmas AI-específicas, Fingerprinting vía Nuclei templates y probes HTTP (identificadores positivos como el string «Ollama is running» de Ollama en la raíz o el endpoint `/version` de vLLM), risk scoring 0-10, suites de ataque protocol-específicas (prompt injection, tool abuse, model extraction), y una visualization estilo Shodan con vista globo 3D. La distinción exposed-vs-accessible es el detalle operacionalmente importante: HTTP 200 significa sin auth (cualquiera puede pegarle al modelo), 401/403 significa que la auth está configurada, y los headers WWW-Authenticate te dicen el esquema (Bearer, Basic, API key). Para builders corriendo infra LLM self-hosted, el asset inventory práctico toma aproximadamente diez minutos — apuntá AIMap a tu propio ASN, conseguí una lista de qué está expuesto y cómo está protegido. La carga de compliance legal (CFAA, GDPR) está sobre los operadores usando la herramienta para cualquier cosa más allá de su propia infraestructura; Bishop Fox lo publica como herramienta, no como servicio.

La lectura ecosystem se empareja naturalmente con los pieces previos sobre seguridad de servidores MCP y arquitectura Claude Code Auto Mode. El patrón a través de los tres: infraestructura AI se despliega más rápido de lo que la higiene de deploy alcanza. Servidores MCP sin autenticación, instancias Ollama en internet público, endpoints vLLM expuestos a cualquiera que los encuentre — la superficie de ataque es amplia y visible. AIMap no introduce el problema; lo hace medible. El número 91% Ollama-sin-auth es impactante pero consistente con el patrón más amplio de «infra AI desplegada para uso personal, luego olvidada en una IP pública». Para equipos de seguridad en empresas AI-builder, esta es la pregunta de asset inventory que no había tenido una herramienta hasta ahora. Para builders solos corriendo Ollama en un servidor home, la pregunta relevante es si realmente quisiste exponer el puerto 11434 a internet, y la respuesta es casi siempre no.

Movida práctica: si corrés cualquiera de las infras AI listadas en producción o para uso personal, escaneá tu propio perímetro con AIMap o equivalente. La configuración default de Ollama bindea a 0.0.0.0 en algunos setups — chequeá la interfaz que escucha, luego chequeá si el firewall realmente bloquea tráfico externo. Para operadores de servidores MCP (la historia reciente sobre superficie de ataque mostró que los agentes son explotables a través de outputs de tools con prompt injection), la pregunta auth + aislamiento de red ahora es tool-discoverable. Para organizaciones desplegando capacidades AI en infra interna, corré el scanner contra tus propios IPs al menos trimestralmente — el patrón deployment-without-auth se reproduce más rápido de lo que se propaga la security awareness. La señal más amplia: el tooling de seguridad AI está alcanzando al resto de la industria de seguridad, y la brecha entre «desplegamos un LLM» y «desplegamos un LLM de forma segura» ha sido más amplia de lo que la mayoría de builders se daban cuenta.