AIMap zeigt, wie offen viele KI-Endpunkte im Netz stehen

Worum es geht

Am 6. Mai 2026 hat Help Net Security über AIMap berichtet, ein neues Open-Source-Werkzeug von Bishop Fox. Es durchsucht öffentlich sichtbare KI-Infrastruktur, erkennt Frameworks wie MCP, Ollama, vLLM, LiteLLM, LangServe oder Gradio und bewertet, wie gefährlich eine gefundene Instanz von außen wirkt.

Das ist relevant, weil viele Teams KI-Agenten und lokale Modellserver schnell ausprobieren, aber Authentifizierung, CORS, TLS und Tool-Rechte nicht mit derselben Strenge behandeln wie klassische Web-APIs. Aus einem vergessenen Testserver kann dadurch ein echter Angriffspfad werden.

Was AIMap tatsächlich macht

AIMap kombiniert Shodan-Abfragen, Live-HTTP-Prüfungen und Nuclei-Templates. Laut Projektbeschreibung gibt es mehr als 32 vorbereitete Suchmuster für typische KI-Signaturen. Danach prüft das Tool Protokoll, Framework, Authentifizierungsstatus, exponierte Tools, Modelle und mögliche System-Prompt-Leaks.

Jeder Endpunkt bekommt einen Risikowert von 0 bis 10. Besonders schwer wiegen fehlende Authentifizierung, offene Tool-Ausführung, offene CORS-Regeln, fehlendes TLS, sichtbare Modelle und Kombinationen wie „kein Login plus Code-Ausführung“. Aktive Tests, etwa Prompt Injection oder Tool-Missbrauch, sind laut Dokumentation für autorisierte Tests gedacht und müssen bewusst gestartet werden.

Warum das wichtig ist

Bishop Fox nennt in der Demonstration mehr als 175.000 exponierte Ollama-Instanzen und mehr als 8.000 offene MCP-Server. Eine gezeigte Stichprobe fand knapp 2.000 Live-Endpunkte in 50 Ländern; 91 Prozent davon hatten keine Authentifizierung. Diese Zahlen sollte man als Herstellerangaben aus einer Demo behandeln, nicht als amtliche Messung. Sie zeigen aber das Muster: KI-Infrastruktur ist oft schneller online als sie gehärtet wird.

Für Entwickler ist der Punkt praktisch. MCP-Server können Tools aufrufen, Dateien lesen, Datenbanken abfragen oder Befehle ausführen. Wenn so ein System öffentlich erreichbar ist, reicht „das ist nur ein Experiment“ nicht mehr als Sicherheitskonzept.

Einfach erklärt

Stell dir eine Werkstatt vor, in der ein Roboterarm, ein Laptop und ein Werkzeugschrank stehen. AIMap läuft nicht einfach in die Werkstatt und schraubt los. Es schaut von der Straße aus, ob die Tür offensteht, ob gefährliche Werkzeuge sichtbar sind und ob jemand ein Schild mit „bitte nicht anfassen“ für ein Schloss gehalten hat.

Praktisches Beispiel

Ein Startup betreibt intern einen MCP-Prototypen für Support-Automation. Der Server hat ein Tool query_db, ein Tool file_read und einen Test-Endpunkt ohne Login. Im lokalen Netz fällt das niemandem auf. Nach einem Cloud-Deploy ist Port 8000 öffentlich erreichbar. AIMap würde den Endpunkt finden, als MCP fingerprinten, den Auth-Status prüfen und wegen fehlender Authentifizierung plus Datenbank-Tool einen hohen Score vergeben. Das Team hätte dann eine konkrete To-do-Liste: Zugriff einschränken, Tools scopen, TLS erzwingen und Logging aktivieren.

Einordnung und Grenzen

• AIMap ist kein Freifahrtschein zum Scannen fremder Systeme. Aktive Tests dürfen nur auf eigenen oder ausdrücklich freigegebenen Zielen laufen.
• Die Zahlen aus der Demo sind ein Warnsignal, aber kein vollständiger globaler Zensus aller KI-Endpunkte.
• Das Tool erkennt bekannte Muster. Neue Frameworks, ungewöhnliche Ports oder teilweise falsch konfigurierte Authentifizierung können weiterhin durchrutschen.

SEO- und GEO-Schlüsselbegriffe

AIMap, Bishop Fox, MCP Security, Ollama Security, AI attack surface, exposed AI endpoints, prompt injection, vLLM, LiteLLM, LangServe, AI infrastructure security, Shodan