文章总结： Cyera披露Ollama存在关键漏洞CVE-2026-7482（CVSS9.3），约30万个暴露公网的部署可能因堆越界读取导致提示、API密钥等敏感信息泄露。攻击者通过恶意GGUF文件结合模型推送功能可远程窃取数据，无需认证。建议立即升级至0.17.1版本，限制网络访问并部署身份验证代理。 综合评分： 85 文章分类： 漏洞预警,漏洞分析,解决方案,数据安全,云安全

严重漏洞可能导致 30 万个 Ollama 部署面临信息泄露风险

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年5月6日 12:12 北京

在小说阅读器读本章

去阅读

Cyera 警告称，大约有 30 万个 Ollama 部署容易受到远程可利用的未经身份验证的关键漏洞的攻击，导致敏感信息被窃取。

Ollama 是一个开源解决方案，用于在本地机器上运行 LLM，并且作为自托管 AI 推理引擎，在组织中非常受欢迎。

Cyera 表示，Ollama 中存在堆越界读取问题，可利用此问题访问存储在堆上的敏感信息，包括提示、消息和环境变量，以及 API 密钥、令牌和密钥。

该漏洞被追踪为CVE-2026-7482（CVSS 评分为 9.3），并被命名为“流血的羊驼”，它影响 GGUF 模型加载器，该加载器接受攻击者提供的 GGUF 文件，其中包含声明的张量偏移量和大小大于文件长度。

在处理文件时，传感器会读取已分配的堆缓冲区之外的数据，访问可能包含敏感信息的内存。

Cyera表示：“攻击者随后利用Ollama内置的模型推送功能，将生成的文件（包含窃取的堆数据）泄露到攻击者控制的服务器。整个攻击过程仅需三次未经身份验证的API调用。”

这家网络安全公司解释说，Ollama 默认启动时无需身份验证，并且会监听所有网络接口，这意味着所有可从互联网访问的实例都容易受到攻击。

Cyera 警告说：“目前大约有 30 万台 Ollama 服务器暴露在公共互联网上，这种漏洞可以立即被广泛利用——无需任何凭证。”

根据 Ollama 的使用方式，成功利用 Bleeding Llama 可能会暴露员工交互、开发代码、路由工具输出以及包含 PII、PHI 和其他敏感信息的提示。

Cyera 表示，“任何 Ollama 可以通过网络访问，而前面又没有防火墙或身份验证代理的部署”都存在被利用的风险。

Ollama 0.17.1 版本已修复此漏洞。建议各组织尽快应用此修复程序，并限制对其部署的网络访问。部署身份验证代理和网络分段可以提高安全性。

组织还应审核正在运行的实例是否存在互联网暴露风险，并将任何可从互联网访问的实例以及通过该实例传输的环境变量和数据视为已受到损害。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《严重漏洞可能导致 30 万个 Ollama 部署面临信息泄露风险》