本機 LLM 不是本機：Ollama 公網曝露的風險

最近看到一個數字讓我停下來想了一下：Ollama 這類「本機跑 LLM」的工具，居然有大量服務端點直接曝露在公網上。

先說清楚：我沒有能力驗證每一筆掃描結果的正確性，但「本機模型服務被當成公開 API 伺服器」這件事，本身就值得把警鈴拉滿。

本機工具，一旦上了公網就不是「本機」了

Ollama 的使用體驗太順了：安裝、拉模型、跑起來，一切像是開一個開發用服務。

很多人心裡的假設是：

• 我在自己電腦跑
• 我自己用
• 這個 API 就算有 port，也不會有人碰到

問題在於，現實世界的網路不是這樣運作。

只要你把服務綁到 0.0.0.0、在雲端 VM 上跑、或是公司網路的防火牆規則開得太鬆，這個「開發用 API」就會變成任何人都能打的入口。

暴露的不只是模型，還有你手上那台機器的風險面

當一個 LLM 服務端點對外開放，風險不會只有「別人偷用你的算力」。我會用三個角度來看：

1) 成本與資源被濫用

公開端點意味著任何人都能：

• 不停丟請求，吃光你的 CPU/GPU
• 拉高記憶體與磁碟使用量
• 讓你整台機器變得不穩定

對雲端 VM 來說，這很快就會變成真金白銀的帳單。

2) 資料與上下文的外洩風險

很多團隊在測試本機 LLM 時，會順手把：

• 內部文件
• 工單內容
• 產品規格
• 客戶資料（甚至只是片段）

拿來做摘要、分類或 RAG。

如果端點對外，攻擊者不需要「入侵」你，他只要像正常使用者一樣呼叫 API，就可能把你原本以為只在內網流動的內容，一點一點挖出來。

3) 後續整合帶來的連鎖暴露

真正危險的，往往不是 LLM 本體，而是你圍繞它做的整合：

• 代理（agent）會不會有工具呼叫？
• 是否接了檔案系統、資料庫、內部 HTTP 服務？
• 是否有「自動拉模型」「自動更新」之類的流程？

當你把 LLM 服務當成自動化工作流的一環，它就像一顆新的「系統邊界穿透點」。邊界一旦被打穿，後面連著的就是一整串服務。

我會怎麼做基本防護

如果你正在用 Ollama 或類似工具，我會把以下幾件事當作最低標：

1. 只綁 localhost：確認服務只在 127.0.0.1 監聽

2. 防火牆白名單：雲端或公司網路環境，明確封掉對外入站

3. 反向代理加認證：真的需要遠端用，至少要有 token / mTLS / VPN

4. 做一次掃描自查：從外部網路視角看自己的 port 是否可達

5. 把「本機 LLM」納入資安清單：它已經是服務，不是單機工具

結語

本機 LLM 讓很多事情變得更容易，但也讓「不小心開出去」這件事更常發生。

工具越順手，越容易被當成理所當然；資安越容易被當成後面再補。這種順序，在 AI 工具上特別危險。

#資安 #LLM #Ollama #DevOps #Infrastructure #AI工具