北京
大家好,我是 Ai 學習的老章
Ollama 是咱們公眾號的常客
今天又得給老朋友補一刀,因為 Ollama 這次攤上的事兒不小——一個 CVSS 9.1 的高危漏洞,已被 Cyera 安全研究員命名為 Bleeding Llama,編號 CVE-2026-7482
簡介
事情起源于 The Hacker News 的一篇披露文章,Cyera 研究員 Dor Attias 在 Ollama 的 GGUF 模型加載器里挖出了一個堆越界讀取(heap out-of-bounds read)漏洞
按照 cve.org 的官方描述:
? Ollama before 0.17.1 contains a heap out-of-bounds read vulnerability in the GGUF model loader The /api/create endpoint accepts an attacker-supplied GGUF file in which the declared tensor offset and size exceed the file's actual length
翻譯過來就是:0.17.1 之前的所有版本,只要 /api/create 接口暴露在網上,攻擊者上傳一個惡意構造的 GGUF 文件就能把服務器進程內存讀個底朝天
問題代碼位置也很明確:
fs/ggml/gguf.goserver/quantization.go里的WriteTo()函數
根源在于 Ollama 在量化時用了 Go 的 unsafe 包繞過內存安全檢查,再加上沒校驗 tensor offset 和 size 是否超過文件實際大小,結果就是越界讀 heap
攻擊鏈
下圖是 Cyera 給出的 API 調用示意:
Bleeding Llama 攻擊鏈
整個攻擊鏈就三步:
上傳 :把構造好的 GGUF 文件(把 tensor shape 設成一個超大的數)通過 HTTP POST 丟到網絡可達的 Ollama 服務器
觸發 :調用
/api/create讓 Ollama 開始建模型,越界讀發生在量化階段外泄 :用
/api/push把讀到的內存當作"模型 artifact"推送到攻擊者控制的 registry
讀到的內容包括什么?Cyera 列得很清楚:環境變量、API keys、system prompts、其他并發用戶的對話數據
Dor Attias 還提了一個特別扎心的場景:很多工程師把 Ollama 接到 Claude Code 上當本地推理后端,那么所有工具調用的輸入輸出都會經過 Ollama 進程的 heap,一旦被讀,整個研發現場都漏給攻擊者了
影響面
The Hacker News 援引 Cyera 數據:全球暴露在公網的 Ollama 服務器超過 300,000 臺
Ollama 在 GitHub 上現在是 171,000+ stars、16,100+ forks,體量擺在這兒,公網暴露面是真大
怎么辦
官方修復版本是 0.17.1,發布說明在這: https://github.com/ollama/ollama/releases/tag/v0.17.1
按 The Hacker News 的建議,最起碼做這幾件事:
立刻升級到 0.17.1 或更新
不要把 Ollama 直接暴露公網 ,至少塞防火墻后面
審計現有實例 有沒有意外開放到外網
加一道認證代理或 API 網關 ,因為 Ollama 默認是沒鑒權的——這才是問題的根
審計已經在用的實例日志 ,看有沒有可疑的
/api/create、/api/push請求
之前我就提過幾次 Ollama 的安全隱患,主要槽點是默認沒鑒權,誰連上誰就能用,這次的 Bleeding Llama 把"沒鑒權"的代價具象化了——不是別人多耗你點 GPU,而是把你機器上跑過的所有秘密都拿走
如果你只在本機 127.0.0.1 跑 Ollama,問題不大;只要 OLLAMA_HOST 綁過 0.0.0.0 或暴露給團隊/公網,就抓緊升級
制作不易,如果這篇文章覺得對你有用,可否點個關注。給我個三連擊:點贊、轉發和在看。若可以再給我加個,謝謝你看我的文章,我們下篇再見!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
