В Ollama нашли критическую уязвимость, из-за которой удалённый атакующий без пароля может получить фрагменты памяти процесса. Под угрозой — открытые в интернет серверы с локальными языковыми моделями: в памяти могут оказаться API-ключи, системные инструкции и тексты диалогов.
Проблему отслеживают как CVE-2026-7482, оценка по шкале CVSS — 9,1. Исследователи Cyera назвали её Bleeding Llama; по их оценке, риск может затрагивать более 300 тыс. серверов по всему миру.
Что сломалось в Ollama
Ollama — популярный открытый фреймворк для запуска больших языковых моделей локально, без передачи запросов в облачные сервисы. Проект набрал более 171 тыс. отметок на GitHub и больше 16,1 тыс. форков, поэтому ошибка быстро попадает в зону внимания компаний, разработчиков и администраторов.
Уязвимость нашли в версиях Ollama до 0.17.1. Она связана с загрузчиком GGUF (GPT-Generated Unified Format — единый формат для хранения больших языковых моделей). Этот формат хранит веса и параметры модели так, чтобы приложение могло быстро загрузить её на локальной машине или сервере.
Суть ошибки — чтение за пределами выделенной области памяти, по-английски out-of-bounds read. Сервер принимает специально подготовленный GGUF-файл, где параметры тензора не совпадают с реальным размером файла. Во время создания модели Ollama читает память дальше допустимой границы и может включить лишние данные в итоговый артефакт.
Почему утечка памяти опаснее обычного сбоя
Такие ошибки не всегда приводят к падению приложения. В этом случае хуже другое: атакующий может вытащить из памяти то, что приложение уже обработало или хранит рядом.
В памяти процесса Ollama могут находиться переменные окружения, API-ключи, системные подсказки, фрагменты запросов пользователей и ответы модели. Если сервер используют разработчики, туда могут попадать куски кода, внутренние документы, договоры, технические токены и другие сведения, которые не планировали отдавать наружу.
Отдельный риск связан с открытым сетевым доступом. REST API у Ollama по умолчанию не требует встроенной аутентификации. Если администратор вынес такой сервис в интернет без шлюза, firewall-фильтра и проверки доступа, у атакующего появляется короткий путь к экспериментам с сервером.
Исследователи описывают цепочку через загрузку вредоносно сформированного файла модели, запуск создания модели и последующую отправку получившегося артефакта во внешний реестр. Для защиты важна не только установка свежей версии, но и пересмотр самой схемы доступа к сервису.
Отдельные проблемы нашли в версии для Windows
Параллельно исследователи Striga сообщили о двух других уязвимостях в механизме обновления Ollama для Windows. Их отслеживают как CVE-2026-42248 и CVE-2026-42249, обе получили оценку CVSS 7,7.
Первая проблема — отсутствие проверки подписи обновляемого файла перед установкой. Вторая — path traversal, то есть ошибка обработки пути к файлу, из-за которой файл можно записать не туда, куда ожидало приложение.
По описанию Striga, настольный клиент для Windows запускается при входе пользователя в систему, слушает локальный адрес 127.0.0.1:11434 и периодически проверяет обновления через фоновый механизм. Если атакующий влияет на ответ сервера обновлений, он может подменить файл, который приложение запустит при следующем входе в Windows.
Исследователи передали сведения 27 января 2026 года. После 90 дней координированного раскрытия они опубликовали детали, указав, что проблемы оставались без исправления на момент публикации. CERT Polska сообщает об уязвимости версий 0.12.10–0.17.5, а один из авторов исследования говорит о риске для установок 0.12.10–0.22.0. Администраторам Windows-систем лучше считать зону риска шире и отдельно проверять состояние клиента.
Кого это касается на практике
Главная группа риска — команды, которые подняли Ollama на сервере для внутренних задач и оставили интерфейс доступным из сети. Часто такие установки появляются быстро: разработчик проверил модель, команда подключила к ней рабочий инструмент, а правила доступа и журналирование отложили «на потом».
Вторая группа — пользователи Windows-клиента, особенно на рабочих ноутбуках. Если приложение стартует вместе с системой, а механизм обновления уязвим, вредоносный файл может закрепиться на уровне прав текущего пользователя. Этого достаточно для кражи браузерных секретов, SSH-ключей, токенов разработки и рабочих документов.
Для обычного пользователя вывод простой: локальная нейросеть не делает данные автоматически безопасными. Она снижает зависимость от облака, но добавляет ответственность за настройки сервера, обновления, доступ по сети и хранение ключей.
Что сделать сейчас
- Проверьте версию Ollama. Для CVE-2026-7482 установите 0.17.1 или новее, если вы используете серверную часть.
- Уберите Ollama из прямого доступа из интернета. Оставьте доступ только с доверенных адресов и закройте лишние порты на firewall.
- Поставьте перед REST API шлюз с аутентификацией. Не полагайтесь на настройки по умолчанию.
- Проверьте журналы: были ли незнакомые загрузки моделей, вызовы создания моделей и отправка артефактов во внешние реестры.
- Смените API-ключи и токены, которые могли находиться в памяти сервера. Особенно если сервис был доступен из сети.
- На Windows временно отключите автообновление Ollama и уберите ярлык приложения из папки автозагрузки, пока не подтвердите наличие исправленной версии.
- Не храните рабочие секреты в системных подсказках и тестовых запросах к модели. Для ключей используйте хранилище секретов и короткий срок жизни токенов.
- В публичных сетях дополнительно защищайте соединение и приватность данных: для этого подойдёт сервис безопасного интернет-соединения.
- Зафиксируйте владельца сервиса внутри команды. У локальной ИИ-инфраструктуры должны быть ответственные за обновления, доступ и проверку журналов.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.