国家网络安全通报中心提示本地部署大语言模型存在安全风险，如何避免服务器被黑客攻击？

很正常。不仅是大模型，极多软件是会在安装后打开某个端口等待外界连接的。这些软件或者本身安全水平堪忧；或者虽然本身没什么安全性问题，但必须正确配置后才能安全。比如当年的典型案例，http://upload.360safe.com的ftp服务就错误的配置为任何人可读可写，使得360盗取的用户隐私信息由此扩散出去，数月后才得以修复。

过去是无需考虑这些的。因为过去都是IP V4，你的电脑你的手机都是通过路由器上网的；而路由器本身会隐藏接入它的所有局域网设备——想要把内网服务暴露到互联网，你反而必须熟悉网络配置，自己主动配置NAT，把相关服务公布到互联网。

但现在IP V6逐渐上线。默认情况下，IP V6是不会隐藏局域网设备的，所有设备都直面互联网。这才使得你自己安装的各种软件，从samba到ftp再到ollama等等，全都直接对互联网打开端口。

你可以使用：

Jason Ng Open Source

查看自己的外网ip。需要同时关注ip v4和ip v6哦。

然后，使用在线的端口扫描网站，比如：

端口扫描 - 在线工具Online IPv6 Port Scanner,

前一个可以查看你对互联网开放的ip v4端口，后一个可查看对互联网开放的ip v6端口。注意把ollama用的11434端口加入它的扫描列表再开始扫描。

如果所有端口都是关闭状态（显示为绿色），那你就可以放心了。你的电脑被保护的很好（但要确保你用的路由器较新而且打了更新补丁，老旧路由器可能存在漏洞、从而允许互联网攻击者用它当跳板攻击内网机器）。

否则的话：

1、配置你的电脑防火墙，禁止11434等端口接受来自互联网的访问。

注意仅仅关闭11434是不够的，任何你不打算公开到互联网的端口都要关闭。

2、修改ollama配置，让它在127.0.0.1提供服务（而不是0.0.0.0）。

3、配置路由器，禁止ip v6设备直接暴露在互联网上

4、关闭ip v6

以上4条可以全部执行，也可以只执行其一。这要看你的网络知识水平。

水平够高，那就可以开ip v6、ip v6设备直连互联网，仅仅配置防火墙或者ollama本身，禁止ollama等服务对外服务即可。

但如果网络水平不行、或者怕麻烦，那么至少要禁止ip v6设备直接暴露于互联网（我就是这个配置，因为习惯ip v4非NAT不得联网的默认策略了，就怕一时不慎把某个不靠谱的服务端口通过ip v6暴露出去）。

ip v6本身尽量不要关，随着ip v4资源枯竭，它可能越来越重要。