Bishop Fox 把 AIMap 開源 — 一個 Nmap 風格的 AI 基礎設施掃描器,跨 AI 表面做發現、指紋識別、風險評分、漏洞測試和視覺化。覆蓋包括 MCP 伺服器、Ollama、vLLM、LiteLLM、LocalAI、LangServe、LangChain、Open WebUI、LibreChat、Gradio、Streamlit、ComfyUI、Stable Diffusion、Hugging Face TGI 和通用推理 APIs。在發布報導中落地、可能讓 builder 稽核自己 stack 的數字:公網上可達的 175,000+ Ollama 實例,**約 91% 沒有配置認證**。這不是 Ollama 中的漏洞 — Ollama 在做你要求它做的事 — 是維運者在部署本地 LLM 伺服器時沒意識到他們正把它們 ship 到網際網路。
架構直接:透過 Shodan 用 32 個 AI 特定簽名做發現,透過 Nuclei 模板和 HTTP 探針做指紋識別(像 Ollama 根路徑上的「Ollama is running」字串或 vLLM 的 `/version` 端點這樣的正向識別符),0-10 風險評分,協定特定的攻擊套件(提示注入、工具濫用、模型提取),以及帶 3D 地球視圖的 Shodan 風格視覺化。exposed-vs-accessible 區別是維運上重要的細節:HTTP 200 意味著沒有 auth(任何人都能打模型),401/403 意味著 auth 已配置,而 WWW-Authenticate 標頭告訴你方案(Bearer、Basic、API key)。對運行自架 LLM 基礎設施的 builder,實際的資產盤點大約需要十分鐘 — 把 AIMap 指向你自己的 ASN,得到一個列表,顯示什麼被暴露以及如何被保護。法律合規負擔(CFAA、GDPR)在使用工具進行任何超出自己基礎設施之外操作的維運者身上;Bishop Fox 把它作為工具發布,不作為服務。
生態讀法與之前關於 MCP 伺服器安全性和 Claude Code Auto Mode 架構的 piece 自然配對。三者間的模式:AI 基礎設施部署速度超過部署衛生跟上的速度。無認證的 MCP 伺服器、公網上的 Ollama 實例、暴露給找到它們的任何人的 vLLM 端點 — 攻擊面廣而可見。AIMap 不引入問題;它使問題可測量。91% Ollama 無認證的數字很驚人,但與「為個人使用部署 AI 基礎設施,然後在公共 IP 上被遺忘」的更廣泛模式一致。對 AI builder 公司的安全團隊,這是直到現在還沒有工具的資產盤點問題。對在家庭伺服器上運行 Ollama 的獨立 builder,相關問題是你是否真的打算把連接埠 11434 暴露給網際網路,答案幾乎總是不。
實際動作:如果你在生產或個人使用中運行任何列出的 AI 基礎設施,用 AIMap 或等價物掃描你自己的邊界。Ollama 預設配置在某些設定中綁定到 0.0.0.0 — 檢查正在監聽的介面,然後檢查防火牆是否真的阻止外部流量。對 MCP 伺服器維運者(最近關於攻擊面的故事顯示代理可透過 prompt-injected 工具輸出被利用),auth + 網路隔離問題現在是工具可發現的。對在內部基礎設施上部署 AI 能力的組織,至少每季度對自己的 IP 運行掃描器 — 部署無認證模式比安全意識傳播更快地複製。更廣泛的訊號:AI 安全工具正趕上其餘安全行業,而「我們部署了一個 LLM」與「我們安全地部署了一個 LLM」之間的差距比大多數 builder 意識到的更大。