Исследователи обнаружили, что критическая уязвимость в Ollama представляет прямую угрозу утечки конфиденциальной информации для более чем 300 000 серверов, доступных из интернета.
Недостаток, отслеживаемый как CVE-2026-7482, вызван чтением за границами кучи (out-of-bounds heap read) в конвейере квантования моделей Ollama. Ollama является одним из самых популярных фреймворков для запуска моделей ИИ на локальном оборудовании. Уязвимость также подвергает риску утечки серверы в локальных сетях (LAN), если доступ к ним не ограничен.
Уязвимость, названная исследователями из Cyera «Bleeding Llama», позволяет неаутентифицированным злоумышленникам загружать специально сформированный файл в конечную точку API Ollama, что приводит к утечке памяти процесса приложения, включая системные запросы (system prompts), сообщения пользователей, переменные окружения и другие конфиденциальные данные.
Ollama предоставляет интерфейс и REST API-сервер для запуска и вызова локально размещенных больших языковых моделей (LLM). По умолчанию приложение не обеспечивает аутентификацию, а также часто настраивается на прослушивание всех сетевых интерфейсов (0.0.0.0), хотя предназначено для локального использования и по умолчанию привязывается к localhost (127.0.1.1). В настоящее время в публичном интернете доступно около 300 000 серверов Ollama, и еще больше находится в локальных сетях.
«Имея более 170 000 звезд на GitHub и 100 миллионов загрузок в Docker Hub, Ollama широко используется на предприятиях в качестве движка для локального инференса ИИ», — предупреждает Cyera, добавляя, что уязвимость широко эксплуатируема, поскольку не требует аутентификации.
Для эксплуатации достаточно трех запросов к API
Ошибка, находящаяся в конвейере квантования моделей Ollama, связана с тем, как фреймворк загружает файлы GGUF (GPT-Generated Unified Format), которые хранят веса, метаданные и информацию токенизатора для локальных моделей.
«Вредоносный субъект может создать файл GGUF, который объявляет размер тензора намного больше, чем предоставленные фактические данные, заставляя Ollama читать далеко за пределами предполагаемого буфера — получая доступ к конфиденциальным данным, хранящимся в куче», — заявили исследователи.
Утекшие данные памяти могут включать запросы пользователей и сообщения чата, системные запросы от всех запущенных моделей, историю разговоров всех пользователей, ключи API, токены и секреты, хранящиеся в переменных окружения, проприетарный код, отправленный моделям ИИ, данные клиентов и контракты, проанализированные с помощью моделей ИИ, и так далее.
После эксплуатации уязвимости злоумышленники могут отправить запрос в конечную точку API push Ollama, чтобы эксфильтровать модель и внедренные утекшие данные на сервер под их контролем.
Меры по смягчению последствий
Пользователям следует обновиться до версии Ollama 0.17.1, которая включает исправление для данной уязвимости. В более общем плане, им следует развернуть прокси-сервер с аутентификацией или API-шлюз перед всеми экземплярами Ollama и никогда не открывать их для интернета без фильтров доступа по IP и брандмауэров.
«Если ваш сервер Ollama был доступен из интернета, предполагайте, что переменные окружения и секреты в памяти могли быть скомпрометированы», — заявила Cyera. «Немедленно смените ключи API, токены и учетные данные».
В локальных сетях серверы Ollama также должны быть изолированы в защищенных сетевых сегментах и за брандмауэрами. Эти общие рекомендации по безопасности относятся ко всем фреймворкам ИИ и фреймворкам ИИ-агентов, которые все чаще становятся мишенью для злоумышленников.
Программы управления уязвимостями должны отслеживать такие инструменты, а их присутствие в сетях должно регулярно проверяться, поскольку сотрудники могут развертывать такие фреймворки и инструменты без разрешения и ведома своей компании.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lucian Constantin
