Oltre 175.000 server di intelligenza artificiale open source risultano esposti alla rete internet pubblica in 130 paesi, configurando quella che i ricercatori di sicurezza definiscono una "monocultura" particolarmente vulnerabile ad attacchi informatici su larga scala. L'analisi condotta congiuntamente da SentinelLABS e Censys ha rivelato come le implementazioni di Ollama, piattaforma per l'esecuzione di modelli AI in locale, rappresentino un rischio sistemico spesso sottovalutato rispetto alle soluzioni commerciali dei grandi provider tecnologici.
Il problema strutturale emerge dall'omogeneità delle configurazioni adottate: la stragrande maggioranza delle istanze rilevate utilizza gli stessi modelli linguistici (Llama, Qwen2 e Gemma2), identiche tecniche di compressione e configurazioni standardizzate. Questa uniformità tecnologica crea le condizioni ideali per un attacco coordinato: una singola vulnerabilità critica potrebbe compromettere simultaneamente una porzione significativa dell'ecosistema globale, anziché manifestarsi come episodi isolati.
La questione assume contorni ancora più preoccupanti considerando le funzionalità esposte. Numerosi server analizzati dispongono di capacità di elaborazione visiva, endpoint API per l'invocazione di strumenti esterni e template di prompt privi di qualsiasi sistema di filtraggio o protezione. L'assenza di supervisione centralizzata, tipica delle soluzioni gestite dalle grandi aziende tecnologiche, implica che eventuali compromissioni potrebbero rimanere non rilevate per periodi prolungati.
I ricercatori identificano tre principali vettori di rischio: il dirottamento delle risorse computazionali facilitato dall'assenza di monitoraggio centralizzato, l'esecuzione remota di operazioni privilegiate attraverso API non protette, e il riciclaggio di identità mediante l'indirizzamento di traffico malevolo attraverso infrastrutture compromesse. Quest'ultimo scenario configura la possibilità che attaccanti utilizzino server legittimi come proxy per mascherare attività illecite.
L'approccio alla sicurezza delle implementazioni AI richiede evidentemente una revisione radicale. Le organizzazioni tendono a considerare i modelli linguistici come strumenti software tradizionali, trascurando il fatto che vengono sempre più frequentemente deployati in posizioni periferiche della rete con capacità di tradurre istruzioni in azioni concrete. La superficie di attacco si amplia proporzionalmente alle funzionalità abilitate, particolarmente quando si tratta di sistemi privi di autenticazione robusta.
Il caso solleva interrogativi sulla governance della sicurezza nell'era dell'AI decentralizzata. Mentre i grandi provider commerciali implementano sistemi di monitoraggio continuo, aggiornamenti coordinati e team dedicati alla sicurezza, le implementazioni open source distribuite operano spesso in un vuoto normativo e operativo. La democratizzazione dell'accesso alla tecnologia AI porta indubbi benefici, ma espone contemporaneamente a rischi sistemici che il mercato fatica ancora a quantificare adeguatamente.
La questione assume rilevanza particolare nel contesto europeo, dove il recente AI Act impone obblighi stringenti sulla gestione dei sistemi di intelligenza artificiale ad alto rischio. Resta da verificare se e come le normative vigenti coprano efficacemente le implementazioni distribuite e autogestite, che per loro natura sfuggono ai meccanismi di compliance tradizionali. La concentrazione geografica degli host compromessi, distribuiti equamente tra continenti, suggerisce inoltre che il fenomeno non conosce confini né distinzioni tra economie sviluppate ed emergenti.
Il mercato della sicurezza informatica si trova di fronte a una sfida inedita: proteggere infrastrutture AI che combinano la complessità computazionale di sistemi enterprise con l'accessibilità e la diffusione capillare tipiche del software open source. La questione non riguarda se queste implementazioni verranno compromesse, ma quando e con quale impatto sistemico. L'industria dovrà rapidamente sviluppare framework e pratiche operative specifiche, o accettare che l'adozione massiva di AI distribuita comporti rischi sistemici ancora largamente inesplorati.