Ollama 漏洞可遠端洩漏記憶體
Ollama 出現 CVE-2026-7482,遠端攻擊者可透過惡意 GGUF 檔讀出程序記憶體,可能外洩金鑰、提示詞與使用者資料。
Ollama 的 CVE-2026-7482 會讓外網可達的伺服器,因為惡意 GGUF 檔而洩漏程序記憶體。
說真的,這種洞很麻煩。攻擊者不用先拿到登入權限,只要打到暴露的 Ollama API 就有機會下手。
這個漏洞的 CVSS 是 9.1。CVE-2026-7482 已經被公開,Cyera 也把它命名為 Bleeding Llama。
更糟的是,Ollama 在 GitHub 上有超過 17.1 萬顆星。Fork 也超過 1.61 萬個。這代表用的人多,掃得到的面也大。
| 項目 | 數值 |
|---|---|
| CVE | CVE-2026-7482 |
| CVSS | 9.1 |
| 可能暴露伺服器 | 300,000+ |
| GitHub stars | 171,000+ |
| GitHub forks | 16,100+ |
| 修補版本 | 0.17.1 |
這個洞到底怎麼來的
訂閱 AI 趨勢週報
每週精選模型發布、工具應用與深度分析,直送信箱。不定期,不騷擾。
不會寄垃圾信,隨時可取消。
Ollama 的賣點很直接。它讓你在本機跑 LLM。提示詞不用先送雲端,很多團隊覺得比較安心。
但本機不等於安全。只要 REST API 對內網或外網開著,攻擊面就出現了。這次的問題就在 /api/create。
根據公開描述,0.17.1 之前的版本,會接受攻擊者送進來的 GGUF 檔。只要 tensor offset 和 size 被刻意灌大,程式就可能在量化流程中越界讀取。
漏洞點落在 fs/ggml/gguf.go 和 server/quantization.go。而且它還用了 Go 的 unsafe。講白了就是,正常的記憶體安全保護在那條路徑上失效了。
- 攻擊面:對外可連的 Ollama REST API
- 觸發方式:惡意 GGUF 檔
- 核心問題:heap out-of-bounds read
- 可能外洩:環境變數、API key、system prompt、聊天內容
為什麼這種洩漏很危險
這不是只漏幾個位元組而已。若攻擊者能把記憶體內容帶出來,很多敏感資料都可能一起被撈走。
最可怕的是,AI 服務常常把很多東西塞進同一個程序。模型載入、推理、工具呼叫、日誌,通通可能在 heap 裡留下痕跡。
Cyera 的資安研究員 Dor Attias 直接講得很白:「攻擊者幾乎可以從你的 AI 推理中學到組織的一切,包括 API keys、專有程式碼、客戶合約,還有更多。」
“An attacker can learn basically anything about the organization from your AI inference — API keys, proprietary code, customer contracts, and much more.” — Dor Attias, Cyera
這句話很重。因為它不是在講模型本身。它在講整個工作流程。
如果你把 Claude Code 這類工具接進去,風險還會往上疊。工具輸出、上下文、暫存資料,都可能進到程序記憶體。
攻擊鏈怎麼走
這次的攻擊流程不複雜。先丟惡意 GGUF,再觸發模型建立,最後把漏出來的資料送出去。
攻擊者先打 /api/create。這一步會讓 Ollama 去處理檔案內容。當 tensor metadata 被做假,程式就可能讀過頭。
接著再用 /api/push。如果漏出的 heap 內容已經混進模型產物,攻擊者就能把它推到自己控制的 registry。
這裡最陰的是,每一步看起來都像正常操作。上傳檔案、建立模型、發佈模型,都是 Ollama 的日常功能。
- Step 1:送入偽造 GGUF
- Step 2:呼叫
/api/create - Step 3:利用
/api/push外送資料 - Step 4:從外部 registry 讀回洩漏內容
Cyera 提到,可能受影響的伺服器超過 30 萬台。這數字很刺眼。
我覺得這也反映一件事。很多團隊把 local AI server 當成內部工具。結果一旦 API 開錯地方,就變成可掃描的目標。
跟其他 Ollama 問題比起來
這次的 CVE-2026-7482,重點是資訊外洩。它不是單純的 crash。它直接碰到機密資料。
修補已經放在 Ollama 0.17.1。這代表版本檢查要立刻做,不要拖。
但這不是 Ollama 唯一的麻煩。Windows updater 另外還有 CVE-2026-42248 和 CVE-2026-42249。一個是簽章驗證問題,一個是路徑穿越。
如果 Windows 桌面版會自動啟動,還會定期檢查更新,攻擊鏈就更長了。這種情況下,持久化執行不是空想。
- CVE-2026-7482:GGUF loader 的 heap 越界讀取
- CVE-2026-42248:Windows updater 簽章驗證缺失
- CVE-2026-42249:Windows updater staging path 路徑穿越
- 0.12.10 到 0.17.5:公開說明中點名的 Windows 版本範圍
- AutoUpdateEnabled:預設開啟,除非管理員關掉
把這些放一起看,就很清楚了。問題不是單點,而是整條供應鏈和更新流程都要管。
你不能只說「我有裝最新版」就算完事。你還要看服務是不是對外開著,更新機制有沒有被繞過。
現在該怎麼處理
先更新到 0.17.1。這是最直接的動作。版本沒升上去,其他討論都只是聊天。
再來是網路隔離。Ollama 不該裸露在公網。至少要放在防火牆後面,再加上認證代理或 API gateway。
如果你有用 Windows 客戶端,也要檢查自動更新。能關就先關,Startup 資料夾的捷徑也要確認有沒有被濫用。
我會建議再補一輪稽核。看哪些主機能從外網打到,哪些服務帳號有 API key,哪些 prompt 可能含有內部資料。
- 先升級到 0.17.1
- 把 API 從公網收回來
- 前面加認證層
- 盤點環境變數和 secrets
- 檢查 Windows updater 設定
這件事放到產業脈絡裡看
本機 LLM 這幾年很紅。大家想要的是低延遲、低成本、資料不出門。
但本機只是部署方式,不是安全保證。只要有檔案解析、更新器、API、工具呼叫,漏洞一樣會出現。
而且 AI 服務的敏感度,比一般 Web 服務更高。因為它吃進去的資料,常常就是公司最值錢的東西。
這也是為什麼很多團隊現在開始把 LLM 當成基礎設施管。不是 demo,不是玩具,就是正式服務。
所以這次事件的重點很實際。你要問的不是「有沒有裝 Ollama」,而是「誰能碰到它」。
接下來該盯什麼
我會先看兩件事。第一,外網上到底還有多少 Ollama instance。第二,這些 instance 裡面有沒有塞著 prompt、key、客服資料。
如果你們團隊也在跑 local LLM,現在就該做一次盤點。把版本、網段、權限、更新器都拉出來看。
講白了,這類漏洞不會只停在單一產品。誰先把暴露面收乾淨,誰就少掉一大截風險。
如果你要我給一句建議,就是先升級,再封網,最後再談優化。這順序別搞反。