A Bishop Fox lançou AIMap como open-source — um scanner estilo Nmap para infraestrutura de AI que faz discovery, fingerprinting, risk scoring, vulnerability testing e visualization através da superfície AI. A cobertura inclui servidores MCP, Ollama, vLLM, LiteLLM, LocalAI, LangServe, LangChain, Open WebUI, LibreChat, Gradio, Streamlit, ComfyUI, Stable Diffusion, Hugging Face TGI e APIs de inferência genéricas. O número que aterrissa na cobertura do lançamento e provavelmente deveria fazer builders auditarem seus stacks: 175.000+ instâncias Ollama alcançáveis na internet pública, **aproximadamente 91% sem autenticação configurada**. Não é uma vulnerabilidade no Ollama — o Ollama está fazendo o que você pediu para ele fazer — são operadores fazendo deploy de servidores local-LLM sem reconhecer que estão shipando para a internet.

A arquitetura é direta: Discovery via Shodan com 32 assinaturas AI-específicas, Fingerprinting via templates do Nuclei e probes HTTP (identificadores positivos como a string «Ollama is running» do Ollama na raiz ou o endpoint `/version` do vLLM), risk scoring 0-10, suítes de ataque específicas por protocolo (prompt injection, tool abuse, model extraction), e uma visualization estilo Shodan com vista globo 3D. A distinção exposed-vs-accessible é o detalhe operacionalmente importante: HTTP 200 significa sem auth (qualquer um pode bater no modelo), 401/403 significa que auth está configurada, e os headers WWW-Authenticate te dizem o esquema (Bearer, Basic, API key). Para builders rodando infra LLM self-hosted, o asset inventory prático leva cerca de dez minutos — aponte o AIMap para seu próprio ASN, pegue uma lista do que está exposto e como está protegido. A carga de compliance legal (CFAA, GDPR) está nos operadores usando a ferramenta para qualquer coisa além da própria infraestrutura; a Bishop Fox publica como ferramenta, não como serviço.

A leitura ecossistema se combina naturalmente com os pieces anteriores sobre segurança de servidores MCP e arquitetura Claude Code Auto Mode. O padrão entre os três: infraestrutura AI está sendo deployada mais rápido do que a higiene de deploy alcança. Servidores MCP sem autenticação, instâncias Ollama na internet pública, endpoints vLLM expostos para quem encontrar — a superfície de ataque é ampla e visível. AIMap não introduz o problema; o torna mensurável. O número 91% Ollama-sem-auth é impressionante mas consistente com o padrão mais amplo de «infra AI deployada para uso pessoal, depois esquecida num IP público». Para equipes de segurança em empresas AI-builder, essa é a pergunta de asset inventory que não tinha uma ferramenta até agora. Para builders solo rodando Ollama num servidor home, a pergunta relevante é se você realmente quis expor a porta 11434 para a internet, e a resposta é quase sempre não.

Movimento prático: se você roda qualquer uma das infras AI listadas em produção ou para uso pessoal, escaneie seu próprio perímetro com AIMap ou equivalente. A configuração default do Ollama bindea a 0.0.0.0 em alguns setups — confira a interface que está escutando, depois confira se o firewall realmente bloqueia tráfego externo. Para operadores de servidores MCP (a história recente sobre superfície de ataque mostrou que agentes são exploráveis através de outputs de tools com prompt injection), a pergunta auth + isolamento de rede agora é tool-discoverable. Para organizações fazendo deploy de capacidades AI em infra interna, rode o scanner contra seus próprios IPs pelo menos trimestralmente — o padrão deployment-without-auth se reproduz mais rápido do que a security awareness se propaga. O sinal mais amplo: o tooling de segurança AI está alcançando o resto da indústria de segurança, e a lacuna entre «deployamos um LLM» e «deployamos um LLM de forma segura» tem sido maior do que a maioria dos builders percebia.