AIMap: Open-source tool finds and tests exposed AI endpoints
2026/05/06 HelpNetSecurity — 公開された Ollama サーバ/MCP エンドポイント/推論プロキシを、インターネット規模で検出/分析するのが、オープンソース・ツール AIMap である。近年の傾向として、これらのシステムが、認証やレート制限なしで公開されるケースが増加している。AIMap は、それらを発見して、特性を識別し、露出度をスコア化し、許可された対象に対してプロトコル・ベースの攻撃テストを実行する。
AIMap の機能
AIMap は、5 つの主要機能で構成される。
- Discovery:Shodan 上でインデックスされたデータを 32 種類のクエリで検索し、既知の AI シグネチャに基づいて候補を抽出する。
- Fingerprinting:Nuclei テンプレートと HTTP チェックにより、プロトコル/フレームワーク/認証状態/公開ツール/モデル/漏洩したシステム・プロンプトなどを特定する。
- Scoring:各エンドポイントを 0〜10 のスコアで評価し、認証状態/ツール露出/CORS 設定/TLS 状態/システム・プロンプト漏洩といった、危険な機能の組み合わせなどを加味する。
- Testing:プロンプト・インジェクション/ツール悪用/モデル抽出などの攻撃シナリオを実行し、結果/深刻度/対策をリアルタイムで出力する。
- Visualization:Shodan 風の検索 UI と 3D グローブ表示を提供し、プロトコル/リスク/地域などのフィルタリングを可能にする。
対象となる AI 基盤の範囲は、MCP/Ollama/vLLM/LiteLLM/LocalAI/LangChain/OpenClaw/Gradio/Stable Diffusion/Hugging Face TGI などに及ぶ。
公開状態とアクセス状態の区別
AIMap の開発者である Aashiq Ramachandran は、”到達可能” と “無防備” を明確に区別する点を強調している。
たとえば “/v1/models” から HTTP 200 が返る場合は無認証で公開されており、401 や 403 が返る場合には認証が有効であることを示す。さらに WWW-Authenticate ヘッダを解析し、Bearer/Basic 認証/API key などの種類も判別する。
各エンドポイントには “auth_status” が付与され、無認証の件数は “no_auth_count” として集計される。この違いにより、同じ公開状態でもリスクレベルが明確に分けられるため、リスク評価に直結する要因となる。
スコアリングとリスク評価
スコアは、認証の有無/ツールの種類/危険機能/CORS 設定/TLS の有無/システム・プロンプト漏洩などの複数の要素で算出される。特に、無認証かつコード実行可能な状態など、危険な条件が重なる場合は高スコアとなる。一般的に、スコア 7 以上は、実際に悪用可能な状態とされる。
露出の規模
Bishop Fox のデモでは、17 万以上の Ollama インスタンスと 8,000 以上の MCP サーバがインターネット上で公開され、その約半数が無認証かつコード実行可能であると報告されている。また、91% の AI エンドポイントが、認証なしで公開されている例も確認されている。
運用上の注意
AIMap の検出と識別機能は読み取り専用であるが、攻撃テスト機能は明示的な許可が必要である。利用者は法令遵守の責任を負い、許可された対象に対してのみ使用すべきである。
訳者後書:インターネット上に無防備な状態で公開されている AI 基盤を自動で探し出し、その危険性を判定するツール AIMap を解説する記事です。この問題の背景にあるのは、Ollama や MCP といった AI を動かすためのシステムを導入する際に、本来であれば設定すべき認証やアクセス制限が忘れられ、外部の誰もが操作できる状態で放置されている現状です。AIMap は、インターネット上の公開情報を検索し、その AI をチェックします。 AI システムを導入する際は、外部から直接アクセスできないように制限をかけ、必ず適切な認証を設定することが不可欠です。
IoT OT Security News 
You must be logged in to post a comment.