O AIMap é uma plataforma open-source que descobre, fingerprinta e pontua servidores de IA expostos na internet — incluindo instâncias Ollama, endpoints MCP e proxies de inferência — permitindo que equipas de segurança testem a exposição dos seus próprios sistemas antes que atacantes o façam.

Pontos-chave: AIMap mapeia endpoints de IA a escala internet | Identifica Ollama, MCP e proxies sem autenticação | Pontua exposição num índice de risco | Executa testes de ataque autorizados | Disponível no GitHub como open-source

O problema dos endpoints abertos

O número de servidores de inferência de modelos de linguagem acessíveis publicamente cresceu de forma explosiva nos últimos doze meses. Administradores implementam instâncias de Ollama e frameworks semelhantes sem configurar autenticação, sem definir rate limits e sem restringir portas a redes internas. O resultado é uma superfície de ataque que poucas organizações conseguem inventariar, quanto mais monitorizar.

O AIMap aborda este vácuo. A ferramenta varre ranges de endereços IP, identifica serviços de IA conhecidos pelo seu comportamento de rede e constrói um inventário de exposição que inclui versão do software, portas abertas e protocolos suportados. Cada endpoint recebe uma pontuação de risco que reflecte quão facilmente poderia ser comprometido.

Como o fingerprinting funciona

A identificação não se limita a verificar portas abertas. O AIMap envia handshakes específicos de cada protocolo — o formato de resposta de um servidor Ollama difere do de um proxy de inferência ou de um endpoint MCP — e usa essas assinaturas para classificar o serviço com precisão. Esta abordagem reduz falsos positivos que ferramentas genéricas de port scanning produzem quando encontram serviços HTTP arbitrários.

Depois de identificar e classificar um endpoint, a plataforma atribui uma pontuação de exposição. Servidores sem autenticação, com APIs de administração acessíveis ou com versões vulneráveis conhecidas recebem pontuações mais altas. A métrica permite que equipas priorizem remediação: um Ollama exposto na porta 11434 sem password merece mais atenção do que um endpoint protegido por proxy com autenticação.

Testes de ataque autorizados

Para além do inventário passivo, o AIMap executa testes activos contra alvos que o operador autorizou. A ferramenta inclui módulos específicos por protocolo que verificam configurações perigosas: extração de modelos, execução de comandos via API, acesso a dados de treino e bypass de limites de recursos. Cada teste gera evidência documentada — request, response e impacto potencial.

A distinção entre descoberta e teste é crítica. O AIMap foi desenhado para operações de segurança defensivas: as equipas apontam a ferramenta contra a sua própria infraestrutura, identificam o que está exposto e recebem um relatório accionável. Usar a ferramenta contra sistemas de terceiros sem autorização constitui uma violação de termos de serviço e, em muitas jurisdições, um crime.

O ecossistema de endpoints de IA

A expansão de endpoints de IA acessíveis publicamente reflecte uma tendência mais ampla. Equipas de desenvolvimento implementam modelos localmente para reduzir custos de API e latência, mas raramente aplicam as práticas de hardening que protegeriam serviços web convencionais. O problema agrava-se com a popularidade do Model Context Protocol (MCP), cuja especificação não impõe autenticação por defeito.

Servidores Ollama expostos tornaram-se um alvo recorrente. Investigadores documentaram campanhas de cryptomining que abusam de APIs Ollama abertas para extrair modelos inteiros — um roubo de propriedade intelectual que custa milhares de dólares em recursos de GPU. O AIMap permite que organizações verifiquem se as suas instâncias estão visíveis antes que atacantes as encontrem.

Comparação com ferramentas tradicionais

Ferramentas de port scanning como Nmap e Shodan conseguem identificar portas abertas e serviços, mas não foram desenhadas para classificar endpoints de IA. O AIMap preenche esta lacuna com protocolos de teste que entendem as particularidades de cada runtime de inferência. Um servidor Ollama exposto numa porta não padrão pode passar despercebido a um scanner genérico mas é imediatamente identificado pela sua assinatura de protocolo.

A pontuação de risco é outra diferenciação. Nmap entrega uma lista de serviços; Shodan devolve banners. O AIMap normaliza estes dados numa métrica que permite priorização. Para equipas que gerem dezenas ou centenas de endpoints de IA, esta camada de análise é o que transforma dados em decisões. A comparação não é de substituição — Nmap continua relevante — mas de especialização. O AIMap faz para endpoints de IA o que ferramentas específicas de web scanning fazem para aplicações web.

O que fazer agora

Equipas que operam serviços de IA devem seguir três passos imediatos. Primeiro, restringir acesso de rede a endpoints de inferência — se o modelo não precisa de ser público, não deve estar público. Segundo, activar autenticação em todos os serviços, incluindo proxies e gateways intermediários. Terceiro, usar ferramentas como o AIMap para auditar a própria exposição de forma periódica, não como exercício único.

O projecto AIMap está disponível no GitHub com documentação completa. A licença open-source permite uso comercial, auditoria interna e adaptação para pipelines de segurança automatizados. Para organizações que gerem múltiplos endpoints de IA, a ferramenta oferece uma forma estruturada de responder a uma pergunta que muita gente ainda não fez: quantos serviços de IA estão realmente expostos na minha rede?