Ollama-Sicherheitslücke: 175.000 KI-Systeme offen im Netz
Eine neue Untersuchung deckt ein globales Netzwerk ungesicherter Ollama-Hosts auf. Fast die Hälfte kann Code ausführen – ein gefundenes Fressen für Kriminelle im Rahmen von 'LLMjacking'-Kampagnen.
Datum
30. Januar 2026
Key Takeaways:
- Über 175.000 ungesicherte Ollama-Hosts sind weltweit öffentlich im Internet erreichbar.
- Fast die Hälfte (48%) bietet Tool-Calling-Fähigkeiten, die Code-Ausführung ermöglichen.
- Kriminelle nutzen diese Schwachstellen bereits aktiv im Rahmen von LLMjacking-Kampagnen aus.
- Die Infrastruktur erstreckt sich über Cloud- und private Heimnetzwerke, was die Kontrolle erschwert.
Ein globales, unkontrolliertes KI-Netzwerk
Eine gemeinsame Untersuchung von SentinelOne SentinelLABS und Censys hat ein massives Sicherheitsproblem aufgedeckt. Das Open-Source-Framework Ollama, das es Nutzern erlaubt, große Sprachmodelle (LLMs) lokal zu betreiben, hat eine riesige, unkontrollierte KI-Infrastruktur geschaffen.
Über 175.000 einzigartige Ollama-Hosts in 130 Ländern sind öffentlich zugänglich und operieren außerhalb der üblichen Sicherheitsvorkehrungen von Plattformbetreibern. Die meisten dieser exponierten Systeme befinden sich in China (über 30%), gefolgt von den USA, Deutschland, Frankreich, Südkorea und Indien.
„Fast die Hälfte der beobachteten Hosts ist mit Tool-Calling-Fähigkeiten konfiguriert, die es ihnen ermöglichen, Code auszuführen, auf APIs zuzugreifen und mit externen Systemen zu interagieren“, so die Forscher Gabriel Bernadett-Shapiro und Silas Cutler.
Warum ist Ollama so anfällig?
Ollama bindet sich standardmäßig nur an die lokale Adresse (127.0.0.1). Mit einer einfachen Konfigurationsänderung – dem Binden an 0.0.0.0 oder eine öffentliche Schnittstelle – wird der Dienst jedoch für das gesamte Internet geöffnet. Da Ollama lokal und oft außerhalb des Unternehmens-Sicherheitsperimeters läuft, entstehen neue Risiken.
Die Gefahr durch Tool-Calling
Die größte Bedrohung geht von den Tool-Calling-Fähigkeiten aus. Diese erlauben es den KI-Modellen, mit externen Systemen zu interagieren.
- Text-Generierung vs. Code-Ausführung: Ein reiner Text-Endpunkt kann schädliche Inhalte produzieren. Ein Tool-fähiger Endpunkt kann jedoch privilegierte Operationen ausführen.
- Erhöhtes Risiko: In Kombination mit unzureichender Authentifizierung und Netzwerk-Exposition schafft dies das höchste Sicherheitsrisiko im gesamten Ökosystem.
Die Analyse identifizierte zudem Hosts mit erweiterten Fähigkeiten wie Reasoning und Vision sowie 201 Hosts, die unzensierte Prompt-Vorlagen ausführen, bei denen alle Sicherheitsvorkehrungen entfernt wurden.
LLMjacking: Die reale Bedrohung
Das Risiko ist nicht theoretisch. Kriminelle nutzen diese Schwachstellen bereits aktiv aus, in einem Prozess, der als LLMjacking bekannt ist. Dabei werden die Ressourcen eines Opfers missbraucht, während dieses die Rechnung zahlt.
Eine aktuelle Kampagne namens Operation Bizarre Bazaar zeigt das Geschäftsmodell:
- Systematisches Scannen des Internets nach exponierten Ollama-, vLLM- und OpenAI-kompatiblen APIs ohne Authentifizierung.
- Validierung der Endpunkte durch Bewertung der Antwortqualität.
- Kommerzialisierung des Zugangs zu reduzierten Preisen über einen Unified LLM API Gateway namens
silver[.]inc.
„Dieser End-to-End-Betrieb – von der Aufklärung bis zum kommerziellen Weiterverkauf – stellt den ersten dokumentierten LLMjacking-Marktplatz mit vollständiger Zuordnung dar“, erklären die Forscher Eilon Cohen und Ariel Fogel. Die Operation wird dem Threat Actor Hecker (auch Sakuya und LiveGamer101) zugeschrieben.
Die Herausforderung für die Sicherheit
Die dezentrale Natur des exponierten Ollama-Ökosystems – verteilt auf Cloud- und private Heimnetzwerke – schafft erhebliche Governance-Lücken. Dies eröffnet neue Wege für:
- Prompt-Injection-Angriffe
- Das Proxying von bösartigem Datenverkehr durch die Infrastruktur der Opfer
Die traditionelle Sicherheitsüberwachung stößt hier an ihre Grenzen. Die Forscher betonen:
- LLMs werden zunehmend an der Edge eingesetzt, um Anweisungen in Aktionen umzuwandeln.
- Sie müssen daher mit der gleichen Strenge behandelt werden wie jede andere extern zugängliche Infrastruktur.
- Das bedeutet: Strikte Authentifizierung, durchgängiges Monitoring und strenge Netzwerk-Kontrollen sind unabdingbar.
Für Unternehmen und private Nutzer, die Ollama oder ähnliche Frameworks einsetzen, lautet die klare Botschaft: Eine standardmäßige lokale Konfiguration zu ändern und den Dienst dem Internet auszusetzen, ist ein enormes Sicherheitsrisiko, das bereits von kriminellen Akteuren ausgenutzt wird.