严重Ollama漏洞CVE-2026-7482暴露30万部署

执行摘要

Cyera研究人员披露了Ollama中一个关键的堆越界读取漏洞，Ollama是一个流行的开源平台，用于在本地运行大型语言模型。该漏洞被追踪为CVE-2026-7482并被分配了一个CVSS得分9.3，被称为Bleeding Llama的漏洞允许未经身份验证的远程攻击者从大约300,000个暴露在互联网上的Ollama部署中窃取敏感数据，包括提示、消息、API密钥、令牌和环境变量。该漏洞存在于GGUF模型加载器中，仅通过三次未经身份验证的API调用即可被利用。Ollama在版本0.17.1中修补了这个问题。

技术分析

根据Cyera的披露，该漏洞存在于Ollama对GGUF模型文件的处理中。GGUF模型加载器接受攻击者提供的文件，该文件包含一个声明的张量偏移量和大小，超过了文件的实际长度。当Ollama处理这个畸形文件时，传感器读取超出分配的堆缓冲区——一个典型的堆越界读取——访问可能包含敏感信息的内存区域。

Cyera解释说，攻击者随后利用Ollama内置的模型推送功能，将现在包含被盗堆数据的结果文件，泄露到攻击者控制的服务器上。整个攻击链仅需要三次未经身份验证的API调用，使其在大规模上容易被利用。

一个关键因素放大了风险：Ollama默认启动时不需要身份验证，并在所有网络接口上监听。Cyera估计目前大约有300,000个Ollama服务器在公共互联网上暴露，这意味着任何可从互联网访问的实例都立即容易受到攻击而无需凭证。处于风险中的数据包括员工与LLMs的互动、开发代码、路由工具输出和包含个人身份信息（PII）、受保护的健康信息（PHI）和其他机密的提示。

缓解措施与建议

组织应立即升级Ollama到版本0.17.1，其中包含了CVE-2026-7482的修复。除了修补之外，Cyera建议在任何Ollama实例前部署身份验证代理，并实施网络分段以限制仅对受信任子网的访问。管理员应对所有运行中的Ollama部署进行互联网暴露审计。Cyera建议将任何可以从互联网访问的实例——以及所有通过它的环境变量和数据——视为可能被泄露。