Ollama曝出9.1分高危漏洞：30万台服务器面临内存泄露风险

本地跑大模型，真的比云端更安全吗？Cyera安全团队的一项最新发现，可能要让不少开发者重新评估这个假设。

网络安全研究人员近期披露了一个影响Ollama的关键漏洞。这个编号为CVE-2026-7482的越界读取漏洞，CVSS评分高达9.1，被Cyera命名为"Bleeding Llama"。据估计，全球超过30万台服务器可能受到影响。

Ollama是一款流行的开源框架，让用户能够在本地而非云端运行大语言模型。该项目在GitHub上已获得超过17.1万星标，被分叉超过1.61万次。本地部署意味着数据不离开自己的机器——这原本是许多团队选择它的核心理由。

漏洞的根源在于Ollama处理GGUF文件的方式。GGUF（GPT-Generated Unified Format）是一种用于存储大语言模型的文件格式，便于本地加载和执行。根据CVE.org的描述，0.17.1版本之前的Ollama在GGUF模型加载器中存在堆越界读取漏洞。具体来说，/api/create端点接受攻击者提供的GGUF文件，其中声明的张量偏移量和大小可能超出文件实际长度；在fs/ggml/gguf.go和server/quantization.go的WriteTo()函数中进行量化时，服务器会读取超出已分配堆缓冲区的内存。

问题的核心在于Ollama使用了Go语言的unsafe包来从GGUF文件创建模型，特别是在WriteTo()函数中，这使得执行绕过编程语言内存安全保证的操作成为可能。

攻击场景并不复杂。攻击者向暴露的Ollama服务器发送一个精心构造的GGUF文件，将张量形状设置为非常大的数值，即可在通过/api/create端点创建模型时触发堆越界读取。成功利用该漏洞可能导致Ollama进程内存中的敏感数据泄露。

这些数据可能包括环境变量、API密钥、系统提示词，以及其他并发用户的对话记录。攻击者还可以通过/api/push端点将生成的模型产物上传到受控的注册表，从而完成数据外泄。整个攻击链条分为三个步骤。

Cyera安全研究员Dor Attias指出："攻击者基本上可以从你的AI推理中了解到该组织的任何信息——API密钥、专有代码、客户合同等等。"他还补充了一个更危险的场景："工程师经常将Ollama连接到Claude Code等工具。在这种情况下，影响甚至更大——所有工具输出都会流向Ollama服务器，保存在堆中，最终可能落入攻击者手中。"

目前建议用户采取多项防护措施：应用最新补丁、限制网络访问、审计运行实例的互联网暴露情况，并将其隔离在防火墙后。此外，由于Ollama的REST API默认不提供认证，建议在所有实例前部署认证代理或API网关。

值得注意的是，Striga的研究人员同期还披露了Ollama Windows更新机制中的另外两个漏洞。本地AI基础设施的安全边界，正在被逐一检验。