Hackers estão sequestrando modelos de IA desprotegidos para roubar poder computacional
Estima-se que cerca de 175.000 servidores privados estejam expostos à internet pública, dando aos hackers a oportunidade de realizar suas atividades ilícitas.
O problema foi relatado pelos pesquisadores de segurança SentinelOne e Censys, que trac7,23 milhões de observações em mais de 300 dias.
Hackers exploram configuração do Ollama
relatório recente da SentinelOne e da Censys revelou que mais de 175.000 servidores privados de IA estão acidentalmente dent à internet. Esses sistemas utilizam o Ollama, um software de código aberto que permite que usuários executem modelos de IA poderosos, como o Llama da Meta ou o Gemma do Google , em seus próprios computadores, em vez de usar um site como o ChatGPT.
Por padrão, o Ollama só se comunica com o computador em que está instalado. No entanto, um usuário pode alterar as configurações para facilitar o acesso remoto, o que pode,dent, expor todo o sistema à internet pública.
Eles trac7,23 milhões de observações ao longo de quase 300 dias e descobriram que, embora muitos desses "hosts" de IA sejam temporários, cerca de 23.000 deles permanecem online quase o tempo todo. Esses sistemas "sempre ativos" são alvos perfeitos para hackers porque fornecem hardware poderoso e gratuito que não é monitorado por nenhuma grande empresa de tecnologia.
Nos Estados Unidos, cerca de 18% desses sistemas expostos estão na Virgínia, provavelmente devido à alta densidade de centros de dados naquele estado. Na China, 30% dos servidores estão localizados em Pequim.
Surpreendentemente, 56% de todos esses sistemas de IA expostos estão rodando em conexões de internet domésticas oudent. Isso é um grande problema, pois hackers podem usar esses endereços IP residenciais para ocultar suadent.
Quando um hacker envia uma mensagem maliciosa através da inteligência artificial doméstica de alguém, ela parece vir de uma pessoa comum, e não de uma botnet criminosa.
Como os criminosos estão usando esses sistemas de IA sequestrados?
De acordo com a Pillar Security, uma nova rede criminosa conhecida como Operation Bizarre Bazaar está ativamente à procura desses endpoints de IA expostos. Eles buscam sistemas que utilizam a porta padrão 11434 e que não exigem senha. Assim que encontram um, roubam o poder computacional e o vendem para outros que desejam executar tarefas de IA a baixo custo, como gerar milhares de e-mails de phishing ou criar conteúdo deepfake.
Entre outubro de 2025 e janeiro de 2026, a empresa de segurança GreyNoise registrou mais de 91.403 sessões de ataque direcionadas a essas configurações de IA. Eles identificaram dois tipos principais de ataques.
- A primeira utiliza uma técnica chamada Server-Side Request Forgery (SSRF) para forçar a IA a se conectar aos servidores do próprio hacker.
- A segunda é uma campanha massiva de "varredura", na qual hackers enviam milhares de perguntas simples para descobrir exatamente qual modelo de IA está em execução e do que ele é capaz.
Aproximadamente 48% desses sistemas estão configurados para "chamada de ferramentas". Isso significa que a IA tem permissão para interagir com outros softwares, pesquisar na web ou ler arquivos no computador.
Se um hacker encontrar um sistema como esse, ele pode usar a "injeção de prompts" para enganar a IA. Em vez de pedir um poema, ele poderia dizer à IA para "listar todas as chaves de API no código-fonte" ou "resumir os arquivos secretos do projeto". Como não há nenhum humano observando, a IA geralmente obedece a esses comandos.
O Relatório de Segurança Cibernética da Check Point de 2026 mostra que o total de ataques cibernéticos aumentou 70% entre 2023 e 2025. Em novembro de 2025, a Anthropic relatou o primeiro caso documentado de uma campanha de espionagem cibernética orquestrada por IA, na qual um grupo patrocinado por um Estado usou agentes de IA para realizar 80% de um ataque sem ajuda humana.
Diversas novas vulnerabilidades, como CVE-2025-1975 e CVE-2025-66959, foram descobertas apenas neste mês. São falhas que permitem que hackers causem a falha de um servidor Ollama enviando um arquivo de modelo especialmente criado para esse fim.
Como 72% desses hosts usam o mesmo formato de arquivo específico chamado Q4_K_M, um único ataque bem-sucedido poderia derrubar milhares de sistemas de uma só vez.
Reivindique seu lugar gratuito em uma comunidade exclusiva de negociação de criptomoedas - limitada a 1.000 membros.
Artigos Recomendados
