關(guān)鍵詞

漏洞

網(wǎng)絡(luò)安全研究人員披露了 Ollama 中的一個嚴(yán)重安全漏洞，若該漏洞被成功利用，遠(yuǎn)程且未經(jīng)身份驗證的攻擊者可能泄露其整個進(jìn)程內(nèi)存。

這一越界讀取漏洞被追蹤為 CVE - 2026 - 7482（通用漏洞評分系統(tǒng) CVSS 分?jǐn)?shù)：9.1），Cyera 將其命名為 “流血的喇嘛（Bleeding Llama）”，全球可能有超 30 萬臺服務(wù)器受影響。

Ollama 是一個廣受歡迎的開源框架，借助它，大語言模型（LLMs）無需在云端運(yùn)行，在本地即可實現(xiàn)。在 GitHub 上，該項目獲得超 17.1 萬顆星標(biāo)，被復(fù)刻超 1.61 萬次。

CVE.org對該漏洞的描述為：“Ollama 0.17.1 版本之前，GGUF 模型加載器存在堆越界讀取漏洞。/api/create 端點接受攻擊者提供的 GGUF 文件，該文件中聲明的張量偏移量和大小超過文件實際長度；在 fs/ggml/gguf.go 和 server/quantization.go 中的量化過程（WriteTo () 函數(shù)）中，服務(wù)器會讀取超出已分配堆緩沖區(qū)的內(nèi)容。”

GGUF 即 GPT 生成的統(tǒng)一格式（GPT - Generated Unified Format），是一種用于存儲大語言模型的文件格式，便于在本地輕松加載和執(zhí)行模型。

根本問題在于，Ollama 從 GGUF 文件創(chuàng)建模型時，特別是在名為 “WriteTo ()” 的函數(shù)中，使用了 unsafe 包，這使得繞過編程語言內(nèi)存安全保障的操作成為可能。

在假設(shè)的攻擊場景中，惡意行為者可向暴露的 Ollama 服務(wù)器發(fā)送特制的 GGUF 文件，將張量形狀設(shè)置為非常大的數(shù)字，通過 /api/create 端點創(chuàng)建模型時觸發(fā)堆越界讀取。成功利用此漏洞可能泄露 Ollama 進(jìn)程內(nèi)存中的敏感數(shù)據(jù)。

這些數(shù)據(jù)可能包括環(huán)境變量、API 密鑰、系統(tǒng)提示以及并發(fā)用戶的對話數(shù)據(jù)。攻擊者可通過 /api/push 端點將生成的模型工件上傳到其控制的注冊表，從而竊取這些數(shù)據(jù)。

漏洞利用鏈分三步展開：

1. 使用 HTTP POST 請求，將張量形狀被夸大的特制 GGUF 文件上傳到可網(wǎng)絡(luò)訪問的 Ollama 服務(wù)器。

2. 利用 /api/create 端點激活模型創(chuàng)建，觸發(fā)越界讀取漏洞。

3. 利用 /api/push 端點將堆內(nèi)存中的數(shù)據(jù)泄露到外部服務(wù)器。

Cyera 安全研究員多爾?阿提亞斯（Dor Attias）表示：“攻擊者基本上可以從你的人工智能推理過程中獲取組織的任何信息 ——API 密鑰、專有代碼、客戶合同等等。”

“不僅如此，工程師常將 Ollama 與 Claude Code 等工具連接。在這種情況下，影響更為嚴(yán)重 —— 所有工具輸出都會流向 Ollama 服務(wù)器，保存在堆中，最終可能落入攻擊者之手。”

建議用戶應(yīng)用最新修復(fù)程序，限制網(wǎng)絡(luò)訪問，檢查運(yùn)行實例是否暴露在互聯(lián)網(wǎng)上，并通過防火墻進(jìn)行隔離和保護(hù)。由于 REST API 本身不提供身份驗證，還建議在所有 Ollama 實例前部署身份驗證代理或 API 網(wǎng)關(guān)。

Ollama 中兩個未修復(fù)漏洞可致持久代碼執(zhí)行

與此同時，Striga 的研究人員詳細(xì)分析了 Ollama Windows 更新機(jī)制中的兩個漏洞，這兩個漏洞可被串聯(lián)起來實現(xiàn)持久代碼執(zhí)行。自 2026 年 1 月 27 日披露后，這些缺陷仍未修復(fù)，在 90 天披露期過后相關(guān)信息已被公開。

Striga 聯(lián)合創(chuàng)始人巴爾托米耶伊?“巴爾泰克”?德米特魯克（Bart?omiej “Bartek” Dmitruk）稱，Windows 桌面客戶端在登錄時會從 Windows 啟動文件夾自動啟動，監(jiān)聽 127.0.0 [.] 1:11434 端口，并通過 /api/update 端點定期在后臺輪詢更新，以便在應(yīng)用下次啟動時運(yùn)行任何待處理的更新。

已識別的漏洞涉及路徑遍歷和簽名缺失檢查，與登錄例程結(jié)合后，若攻擊者能影響更新響應(yīng)，就可在每次登錄時執(zhí)行任意代碼。以下是這些漏洞：

• CVE - 2026 - 42248（CVSS 分?jǐn)?shù)：7.7）—— 缺失簽名驗證漏洞，與 macOS 版本不同，Windows 版本在安裝更新二進(jìn)制文件前不驗證其簽名。

• CVE - 2026 - 42249（CVSS 分?jǐn)?shù)：7.7）—— 路徑遍歷漏洞，Windows 更新程序直接從 HTTP 響應(yīng)頭創(chuàng)建安裝程序臨時目錄的本地路徑，未進(jìn)行清理。

要利用這些漏洞，攻擊者需控制受害者 Ollama 客戶端可訪問的更新服務(wù)器。在這種情況下，可能出現(xiàn)的場景是，作為更新過程一部分提供的任意可執(zhí)行文件被寫入 Windows 啟動文件夾，且不會引發(fā)任何簽名檢查問題。

為控制更新響應(yīng)，一種方法是覆蓋 OLLAMA_UPDATE_URL，使客戶端指向普通 HTTP 協(xié)議的本地服務(wù)器。攻擊鏈還假設(shè)自動更新功能（AutoUpdateEnabled）處于開啟狀態(tài)，這是默認(rèn)設(shè)置。

此外，缺失完整性檢查本身就可能導(dǎo)致代碼執(zhí)行，無需利用路徑遍歷漏洞。在這種情況下，安裝程序會被放置到預(yù)期的臨時目錄。下次從啟動文件夾啟動時，更新過程將在不重新驗證簽名的情況下被調(diào)用，從而導(dǎo)致攻擊者的代碼被執(zhí)行。

不過，遠(yuǎn)程代碼執(zhí)行并非持久的，因為下一次合法更新會覆蓋臨時文件。結(jié)合路徑遍歷漏洞，惡意行為者可將可執(zhí)行文件重定向到常規(guī)路徑之外的位置，實現(xiàn)持久代碼執(zhí)行。

負(fù)責(zé)協(xié)調(diào)披露過程的波蘭計算機(jī)應(yīng)急響應(yīng)小組（CERT Polska）稱，Ollama for Windows 0.12.10 至 0.17.5 版本易受這兩個漏洞影響。在此期間，建議用戶關(guān)閉自動更新，并從啟動文件夾（“% APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup”）中刪除任何現(xiàn)有的 Ollama 快捷方式，以禁用登錄時的靜默執(zhí)行路徑。

德米特魯克表示：“任何運(yùn)行 0.12.10 至 0.22.0 版本的 Ollama for Windows 安裝都存在漏洞。路徑遍歷會將攻擊者選定的可執(zhí)行文件寫入 Windows 啟動文件夾。缺失簽名驗證會使這些文件保留在那里：正常更新程序中用于刪除未簽名文件的寫入后清理操作在 Windows 上不起作用。下次登錄時，Windows 會運(yùn)行遺留在那里的任何文件。”

“這一系列操作會以運(yùn)行 Ollama 的用戶權(quán)限級別實現(xiàn)持久、靜默的代碼執(zhí)行。實際的有效載荷包括反向 Shell、竊取瀏覽器機(jī)密和 SSH 密鑰的信息竊取程序，或者用于轉(zhuǎn)向其他持久化機(jī)制的釋放器。任何以當(dāng)前用戶身份運(yùn)行的程序都有可能。從啟動文件夾中刪除放置的二進(jìn)制文件可結(jié)束這種持久性，但底層漏洞依然存在。”

安全圈

網(wǎng)羅圈內(nèi)熱點 專注網(wǎng)絡(luò)安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！