La infraestructura FOSS está bajo ataque de empresas de IA
(thelibre.news)- Varias infraestructuras FOSS —como SourceHut, KDE GitLab, GNOME GitLab, LWN, Fedora, Inkscape, Diaspora y Read the Docs— están sufriendo caídas, bloqueos y carga operativa por crawlers de IA e informes de seguridad generados por IA
- Los crawlers ignoran
robots.txto solicitan repetidamente endpoints costosos comogit blame, logs de Git y páginas de commits, e intentan mezclarse con el tráfico de usuarios normales usando decenas de miles de IP y User-Agents falsificados - GNOME introdujo la prueba de trabajo Anubis, pero durante unas 2 horas y 30 minutos solo el 3% de 81,000 solicitudes la superó, lo que sugiere que la mayor parte del tráfico podría ser de bots
- Se han aplicado medidas como bloquear versiones de Edge, limitar a usuarios no autenticados, bloquear subredes y países, listas de bloqueo de IP, y
robots.txt/.htaccesspara crawlers de IA; aun así, usuarios reales también sufren demoras o bloqueos de acceso - Los proyectos open source, al depender de la colaboración pública, tienen una superficie de exposición mayor que los servicios privados, por lo que el scraping de IA y los informes de seguridad con alucinaciones de LLM consumen directamente el tiempo y la capacidad operativa de los mantenedores
Fallas repetidas en varias infraestructuras FOSS
- Drew DeVault, fundador y CEO de SourceHut, criticó que las empresas de LLM estén rastreando datos sin respetar
robots.txt, causando fallas graves en SourceHut - La infraestructura de KDE GitLab se sobrecargó por crawlers de IA provenientes de IP en rangos de Alibaba, y los desarrolladores de KDE no pudieron acceder temporalmente a GitLab
- En GNOME GitLab empezó a aparecer la pantalla de carga predeterminada del desafío de prueba de trabajo Anubis, implementado para bloquear scrapers de IA que causan interrupciones
- A medida que se acumulan los casos, aumenta la agresividad de los scrapers de IA y también la carga operativa para las comunidades FOSS, que se basan en la colaboración pública
Cómo operan los crawlers y por qué es difícil bloquearlos
- Según Drew DeVault, los crawlers de LLM no respetan las reglas de
robots.txty recorren repositorios completos, incluso páginas de alto costo- Entre los objetivos están
git blame, todas las páginas de logs de Git y todos los commits de los repositorios - Los crawlers usan User-Agents aleatorios desde decenas de miles de IP, y cada IP envía una o menos solicitudes HTTP para mezclarse con el tráfico de usuarios
- Entre los objetivos están
- Este comportamiento dificulta crear mitigaciones, y en SourceHut trabajos de alta prioridad se han retrasado semanas o meses
- Como es difícil distinguir bots de personas, los usuarios reales también se vieron afectados de forma intermitente, lo que derivó en fallas de SourceHut
- Drew no distingue si todas las empresas de IA tratan
robots.txto el reporte de User-Agent de la misma manera
Respuestas de KDE y GNOME
- Según Ben, del equipo de sysadmin de KDE, las IP que provocaron el DDoS contra KDE GitLab afirmaban ser MS Edge, y el origen eran empresas chinas de IA
- Ben considera que operadores occidentales de LLM como OpenAI y Anthropic al menos configuran User-Agents correctos
- La solución temporal fue bloquear la versión de Edge que los bots decían usar
- Como los bots tienden a cambiar el User-Agent para mezclarse, esto es difícil de usar como solución definitiva
- GNOME venía sufriendo el problema desde noviembre del año pasado, y aplicó limitación de velocidad para impedir que usuarios no autenticados vieran merge requests y commits
- Esta medida también causó problemas a usuarios reales no autenticados
- Luego GNOME migró a Anubis
- Anubis presenta al navegador una tarea computacional y permite el acceso cuando el navegador dedica tiempo a resolverla y envía la solución al servidor
- Un desarrollador la describió como una “medida cercana a una respuesta nuclear”, y consideró que fue una elección forzada porque los bots scrapers de IA no siguen estándares como
robots.txt
- Anubis también deja impacto en usuarios
- Si muchas personas abren enlaces desde el mismo lugar, pueden recibir desafíos de mayor dificultad
- Un usuario sufrió una demora de 1 minuto, y otro esperó alrededor de 2 minutos desde el teléfono
- Esto ocurrió cuando se pegaban enlaces de GitLab en salas de chat o cuando una merge request de Triple Buffering GNOME llegó a Hacker News y atrajo atención
- Según cifras compartidas por Bart Piotrowski, sysadmin de GNOME, durante unas 2 horas y 30 minutos solo el 3% superó la prueba de trabajo de Anubis de un total de 81,000 solicitudes
- Tasa de aprobación de Anubis: {p:3}
- Esto sugiere que el 97% del tráfico podría ser de bots
Casos de bloqueo en LWN, Fedora e Inkscape
- Jonathan Corbet, operador de LWN, avisó a los usuarios que el sitio “puede estar lento ocasionalmente” debido a un DDoS de bots scrapers de IA
- Dijo que el tráfico servido a lectores humanos reales es apenas una pequeña parte del total
- Según él, en un momento los bots accedían simultáneamente desde cientos de IP, no se identificaban como bots y lo único que no leían era
robots.txt
- Kevin Fenzi, sysadmin del proyecto Fedora, también sufrió problemas con scrapers de IA
- Hace un mes tuvo que responder para mantener vivo
pagure.io - Después la situación empeoró, bloqueó varias subredes y los usuarios reales también se vieron afectados
- En una situación desesperada, bloqueó todo Brasil, y se entiende que ese bloqueo sigue vigente
- Hace un mes tuvo que responder para mantener vivo
- Neal Gompa señaló que incluso bloquear países completos tiene límites, y que la infraestructura de Fedora estuvo “caída regularmente durante semanas” por los scrapers de IA
- Inkscape también sufrió el mismo problema la semana pasada
- Martin Owens considera que no se trató del DDoS chino común del año pasado, sino de varias empresas ignorando la configuración de spiders y falsificando información del navegador
- Creó la lista de bloqueo Prodigius y dijo que, si alguien trabaja en una gran empresa dedicada a IA, quizá ya no pueda acceder al sitio web de Inkscape
Listas de bloqueo de IP e intentos de respuesta conjunta
- BigGrizzly, de Frama software, también fue inundado por malos crawlers de LLM y creó una lista de bloqueo de 460,000 IP que usan User-Agents falsificados
- Dijo que puede compartir esa lista
- El proyecto
ai.robots.txtes un intento más amplio de crear una lista pública de crawlers web relacionados con empresas de IA- Proporciona un
robots.txtque implementa el Robots Exclusion Protocol - También ofrece un archivo
.htaccessque devuelve una página de error a las solicitudes de crawlers de IA incluidos en la lista
- Proporciona un
Cifras de tráfico de Diaspora y Read the Docs
- En el análisis de Dennis Schubert sobre la infraestructura de Diaspora, una parte considerable del tráfico web total aparece como bots de empresas de IA
- Los bots con User-Agent de OpenAI representan una cuarta parte de todo el tráfico web
- Amazon representa el 15% y Anthropic el 4.3%
- En total, alrededor del 70% de las solicitudes provienen de empresas de IA
- Schubert dice que estos bots no rastrean una vez y se van, sino que vuelven cada 6 horas y no prestan atención a
robots.txt- Si se les aplica limitación de velocidad, cambian a otra IP
- Si se bloquean por cadena de User-Agent, cambian a una cadena de User-Agent que no corresponde a un bot
- Lo describió como un DDoS contra todo Internet
- Read the Docs afirmó en el artículo “AI crawlers need to be more respectful” que, al bloquear todos los crawlers de IA, el tráfico se redujo 75%
- Reducción de tráfico: {p:75}
- El tráfico bajó de 800 GB diarios a 200 GB
- Esto permitió ahorrar alrededor de 1,500 dólares al mes
- También hubo casos en los que crawlers descargaron decenas de TB de datos en pocos días
- Como usan múltiples IP, es difícil bloquearlos por completo
- Según Schubert, los crawlers “normales” como Google y Bing juntos representan menos del 1%
La carga de mantenimiento creada por informes de seguridad generados por IA
- El problema no se limita a los scrapers, sino que también se extendió a reportes de bugs generados por IA
- Daniel Stenberg, del proyecto Curl, trató el problema de los reportes de bugs generados por IA en el artículo “The I in LLM stands for Intelligence”
- Curl opera un programa de bug bounty
- Recientemente, muchos reportes de bugs fueron generados por IA y, a primera vista, parecen plausibles, lo que consume tiempo de verificación de los desarrolladores
- Pero los reportes contienen las alucinaciones típicas que se esperan de la IA
- Seth Larson, que participa en equipos de triage de reportes de seguridad de CPython, pip, urllib3 y Requests, también enfrenta un problema similar
- Están aumentando los reportes de seguridad con alucinaciones de LLM, de calidad extremadamente baja y estilo spam, dirigidos a proyectos open source
- Como al verlos por primera vez pueden parecer legítimos, hace falta tiempo para refutarlos
- Responder a reportes de seguridad es costoso, y lidiar con reportes de bugs plausibles pero inventados agrega una carga importante para los mantenedores
- Larson pidió no usar sistemas de IA o LLM para detectar vulnerabilidades
- Afirma que los sistemas actuales no pueden entender el código, y que detectar vulnerabilidades de seguridad requiere comprensión del código y de conceptos de nivel humano como intención, formas habituales de uso y contexto
Una carga estructural mayor para FOSS
- Los proyectos FOSS suelen tener menos recursos que los productos comerciales
- En proyectos impulsados por la comunidad, una mayor parte de la infraestructura es pública, por lo que queda expuesta a crawlers
- Como necesitan issues públicos, reportes de seguridad e infraestructura de colaboración, los scrapers de IA y los issues generados por IA se convierten simultáneamente en una carga
- Al final, responder a interrupciones, definir políticas de bloqueo, mitigar daños a usuarios y revisar reportes de seguridad falsos consume el tiempo de los mantenedores open source
1 comentarios
Opiniones en Hacker News
También está este caso: https://about.readthedocs.com/blog/2024/07/ai-crawlers-abuse... Es un artículo citado también en el original, y todos mis conocidos que operan infraestructura de Internet a gran escala están pasando por cosas parecidas.
Este artículo reúne bien esos casos en un solo lugar. Como dije cuando lo escribí, simplemente están quemando por completo su capital de confianza.
Una de las principales startups de este sector colaboró directamente con nosotros, nos reembolsó los costos y corrigió el bug de su crawler. En cambio, Facebook no respondió los correos, y el enlace en el User Agent daba 404. Un ingeniero de la empresa vio el artículo y nos dio el correo correcto, pero envié 3 mensajes ahí y aun así no hubo respuesta.
La actitud es que, quieras o no, la IA va a meterse en todos los productos y, quieras o no, va a absorber todos los datos.
Opero una infraestructura que maneja cientos de TB de tráfico al mes, principalmente en servidores dedicados, y el costo de tráfico ronda aproximadamente entre 0.50 y 3 dólares por TB. Depende de la región, pero los costos de tráfico saliente de AWS son realmente una locura.
Ver que mi proyecto aparece así en la imagen de vista previa se siente totalmente irreal. ¡Increíble! Si quieren probarlo, está aquí: https://github.com/TecharoHQ/anubis
Por lo que he visto hasta ahora, parece que realmente funciona. Lo tengo desplegado en xeiaso.net para ver cómo falla en producción en mi blog.
Hay algo como un widget de animación de carga, pero cuando lo vi por primera vez hace unas semanas en el tracker de issues de Gnome, la prueba de trabajo tardó unos 20 segundos y no entendía qué estaba pasando. Al principio pensé que me habían bloqueado o que el captcha no había cargado.
Ahora ya sé qué es, pero viendo solo la página de “verificando si eres un bot”, no parece 100% claro.
Es una buena forma de que quienes quieren mantener un sitio abierto gratis trasladen la carga económica a los crawlers. Si quieren los datos, que quienes los toman gasten el dinero.
La desventaja es que podrías quedar fuera de los motores de búsqueda, pero tampoco hay razón para no registrar el servicio en indexadores globales o P2P.
Y respecto a https://news.ycombinator.com/item?id=43422781, si se le agregara una forma de calcular micropagos con la shitcoin que uno quiera, quizá habría otro caso de uso realmente útil para las criptomonedas.
A este ritmo, no es un problema exclusivo de la infraestructura libre y de código abierto. Claro que eso resuena especialmente porque es el canario en la mina, pero al final es un problema de todo el acceso anónimo a Internet
Puedes poner un sitio detrás de un muro de autenticación, pero los bots nuevos, a diferencia de los de antes, resuelven captchas e imitan a usuarios reales. Más aún si usan IP residenciales y User Agents falsos, o incluso User Agents reales conectados a algo como Playwright, como se menciona en el artículo
Al final, ¿qué queda además de que los sitios empiecen a pedir tarjeta de crédito, Worldcoin o algún sustituto igual de deprimente?
Usan Facebook, Instagram, X, etc. como tarjetas de presentación digitales. No uso Facebook ni Instagram normalmente, dejé X y ni siquiera tengo cuenta; cuando sigo esos enlaces, solo veo parte de la información y luego aparece un cuadro de diálogo que me dice que cree una cuenta o me vaya, o aparece algún error desconocido
Está bien unirse a comunidades privadas, pero es realmente molesto que aparezcan estas barreras sobre información que fue publicada suponiendo que sería visible públicamente
¿Los costos suben y el sitio cae para siempre? Excelente, porque la gente tendrá que usar IA para toda la documentación. ¿Se rinden con los captchas y empiezan a pedir tarjetas de crédito o números de teléfono? Excelente, porque así se reduce el anonimato en Internet
¿Las filtraciones de datos aumentan las estafas? Excelente, porque hará falta IA para frenarlas. Para los actores maliciosos, casi todo es una jugada ganadora
La balcanización de Internet se viene discutiendo desde hace mucho. Uno pensaría que esa amenaza, o el hecho de que ya sea un basurero fuera de control, generaría cierta cautela antes de empeorar las cosas, pero al final no importa empujar los límites del acoso y la fricción que la gente puede soportar. Porque no tienen una opción real
La tasa de nuevos registros tampoco cambió de forma perceptible. Es así tanto en el juego como en la wiki, y la mayor parte del tráfico de scraping se concentró en la wiki. Si el scraping no baja, es muy probable que tenga que poner la wiki casi por completo detrás de un muro de autenticación
Si vivimos en un Internet donde que un sitio web reciba demasiados visitantes se convierte en una amenaza existencial para ese sitio, entonces la estructura de nuestro Internet no está hecha para sobrevivir mucho tiempo
Cuando los motores de búsqueda provocaron esto en el pasado, la industria llegó a un acuerdo para evitar que se creara regulación legal y creó la especificación robots.txt. Por eso no se formó un marco legal
Ahora hay una nueva generación de indexadores hambrientos que no participaron en ese acuerdo y que, por presión competitiva, quieren raspar la mayor cantidad de datos posible, y simplemente ignoran robots.txt
De todos modos debió haberse legislado, y quienes ignoraran robots.txt deberían haber recibido bloqueos, multas, limitaciones de velocidad, etc.
Hay otras opciones además de una prohibición total
A mí también me atacaron hace poco [0]. Es una pequeña instancia de Forgejo donde publico el código de varios paquetes de código abierto, así que tiene que estar abierta al público, pero quedó completamente destrozada y el disco se llenó con archivos ZIP generados
No soy el único al que le pasó lo mismo. En mi caso, al bloquear los rangos de IP de Alibaba Cloud, el ataque por ahora se redujo
Si operas una instancia de Forgejo, recomiendo firmemente configurar DISABLE_DOWNLOAD_SOURCE_ARCHIVES en true. Los crawlers seguirán aferrándose a la CPU, pero al menos el disco no se llenará de archivos ZIP
[0] https://blog.nytsoi.net/2025/03/01/obliterated-by-ai
Un diseño que genera archivos ZIP, los escribe completos en disco y luego los envía de una vez al cliente es completamente horrible e inutilizable. Un diseño correcto debería generarlos de forma incremental y transmitirlos al cliente usando un mínimo de memoria y sin usar disco en absoluto
Que exista un diseño tan absurdo es señal de que los desarrolladores casi no prestaron atención a la eficiencia, y es probable que haya muchas otras fallas graves similares
Por ejemplo, al mirar por encima el código fuente de Forgejo, parece que lanza procesos “git” para todas las operaciones de Git, en lugar de usar una biblioteca dedicada. No lo confirmé, pero no me sorprendería que esas operaciones estén muy lejos de la forma más eficiente de realizarse
Si corres software tan extremadamente deficiente, no sorprende que la CPU quede fija al 100% y el servidor se vuelva inutilizable
La gran conclusión aquí es que el dominio de la web por parte de Google y de la publicidad en general está desapareciendo.
La única forma de bloquear bots es con captchas, pero entonces los indexadores de búsqueda tampoco pueden indexar el sitio. Al final, los motores de búsqueda no pueden indexar el sitio y dejan de aportar valor.
Habrá cierto desfase hasta que se seque el conocimiento que hoy está dentro de los LLM, pero ya nadie podrá raspar la web de forma automatizada.
Parece que todo va a arder.
Si baja la población de IA, aumenta el contenido humano, lo que se convierte en más alimento para la IA y hace que vuelva a crecer. Entonces la expresión humana queda sepultada y los humanos se vuelven más silenciosos. Al reducirse el alimento de la IA, la IA disminuye; baja el ruido y los humanos vuelven a crecer. Este ciclo se repite hasta el cansancio.
Estamos atrapados en una disyuntiva difícil: ¿queremos a los actores dominantes ya atrincherados o queremos hosting barato y abierto?
Muchos sitios basados en publicidad se apagarán. Sus visitantes serán solo bots.
Si hay una herramienta sencilla, la mayoría permitirá solo a Google, Bing y, como mucho, uno o dos más.
Si a alguien le interesa el pequeño sabotaje, creo que logré “ahogar” en cierta medida la información real de mi microblog.
Con LLaMa generé decenas de publicaciones contradictorias por cada publicación real y las enlacé de forma invisible para que las personas no hicieran clic. Es, por así decirlo, inundar la zona con basura al estilo Bannon.
Se hace referencia explícita a rutas que una persona no puede ver realmente, y el tráfico que visita esas rutas se considera bot. Los bots no pueden resistirse.
No funcionaría con sitios bien estructurados donde el bot conoce el endpoint exacto que quiere raspar, pero creo que podría ralentizar los hilos de arañas más exploratorios.
[0] https://libraryofbabel.info/
Soy de VideoLAN.
A nosotros también nos están golpeando los foros y Gitlab los bots de empresas de IA.
La mayoría no respeta robots.txt.
Es una locura. Me pregunto si al final terminaremos con una versión de la web que no esté indexada por motores de búsqueda, más parecida a la navegación de los 90, donde los sitios se conocían porque se enlazaban entre sí.
Me gusta que la solución al scraping de LLM sea hacer que el navegador realice una prueba de trabajo antes de permitir el acceso. Me pregunto si los sitios nuevos empezarán a adoptar algo así.
Entonces no quedarían indexados por los motores de búsqueda, pero ayudaría a proteger la propiedad intelectual.
No lo había pensado hasta ahora, pero es una locura que las empresas que ofrecen tanto productos LLM como servicios de computación en la nube ganen por partida doble.
Obtienen un producto LLM que pueden vender y, al mismo tiempo, también cobran los costos de tráfico saliente y de cómputo de la carga aumentada. Visto así, ¿qué incentivo tienen para preocuparse por el scraping ineficiente de los LLM? Cuanto más desordenado lo dejen, más ganan con otro de sus imperios: los costos de tráfico saliente del almacenamiento en la nube.