Ollama高危漏洞背后，大模型正在成為新的黑客入口

#網(wǎng)安頭條 ·2026-05-11 16:18:40

這兩年，大模型本地化部署正在快速普及。越來(lái)越多的企業(yè)開(kāi)始把代碼倉(cāng)庫(kù)、內(nèi)部知識(shí)庫(kù)、客服系統(tǒng)甚至辦公流程接入本地AI，而 Ollama 這類開(kāi)源框架，也因此成為了AI部署領(lǐng)域最熱門的基礎(chǔ)設(shè)施之一。

但很多人沒(méi)意識(shí)到，AI服務(wù)器一旦出問(wèn)題，泄露的已經(jīng)不只是數(shù)據(jù)庫(kù)，而是企業(yè)最核心的“思維中樞”。

最近，安全研究人員披露了一組關(guān)于Ollama的嚴(yán)重漏洞，其中影響最大的一項(xiàng)被編號(hào)為“CVE-2026-7482”，研究團(tuán)隊(duì)將其命名為“Bleeding Llama”。這個(gè)漏洞最危險(xiǎn)的地方在于，攻擊者甚至不需要登錄認(rèn)證，只要目標(biāo)Ollama服務(wù)暴露在公網(wǎng)，就可能通過(guò)一個(gè)偽造的模型文件，直接讀取服務(wù)器進(jìn)程中的敏感內(nèi)存數(shù)據(jù)。

很多傳統(tǒng)漏洞的目標(biāo)，是獲取權(quán)限、植入木馬、控制系統(tǒng)，但這次攻擊的邏輯完全不同。它更像是在“偷看大腦”。

漏洞本質(zhì)屬于“越界讀取”。攻擊者會(huì)構(gòu)造一個(gè)特殊的GGUF模型文件，在模型參數(shù)里故意偽造超大的張量尺寸，誘導(dǎo)程序讀取本不屬于它的數(shù)據(jù)區(qū)域。由于Ollama在處理模型量化時(shí)缺乏足夠的邊界校驗(yàn)，最終導(dǎo)致內(nèi)存中的敏感信息被直接帶出。

而真正的問(wèn)題，并不只是技術(shù)細(xì)節(jié)本身。

現(xiàn)在很多企業(yè)部署AI服務(wù)，安全意識(shí)還停留在傳統(tǒng)Web時(shí)代。開(kāi)發(fā)團(tuán)隊(duì)更關(guān)心模型能不能跑起來(lái)、響應(yīng)夠不夠快，卻很少有人認(rèn)真評(píng)估推理服務(wù)到底接觸了多少敏感數(shù)據(jù)。事實(shí)上，大模型推理服務(wù)器已經(jīng)成為新的數(shù)據(jù)聚合中心。

用戶的聊天記錄、內(nèi)部代碼、API密鑰、系統(tǒng)提示詞、業(yè)務(wù)文檔，甚至多個(gè)用戶的實(shí)時(shí)上下文，都可能短暫存放在推理內(nèi)存中。一旦漏洞被利用，攻擊者拿走的不是一份數(shù)據(jù)庫(kù)備份，而是企業(yè)運(yùn)行過(guò)程中最真實(shí)、最動(dòng)態(tài)的數(shù)據(jù)切片。

尤其是在AI編程場(chǎng)景里，這種風(fēng)險(xiǎn)會(huì)被進(jìn)一步放大。

如今不少開(kāi)發(fā)團(tuán)隊(duì)已經(jīng)習(xí)慣把 Claude Code 等AI工具與本地推理框架聯(lián)動(dòng)使用。代碼生成、終端操作、SSH調(diào)用、日志分析，都會(huì)經(jīng)過(guò)推理服務(wù)器處理。換句話說(shuō)，AI服務(wù)器看到的東西，往往比傳統(tǒng)辦公系統(tǒng)還敏感。

從某種意義上說(shuō)，大模型正在成為企業(yè)內(nèi)部新的“超級(jí)入口”。

而就在內(nèi)存泄露漏洞曝光后，研究人員又披露了Ollama Windows客戶端另外兩項(xiàng)漏洞。這次的問(wèn)題出現(xiàn)在自動(dòng)更新機(jī)制上，由于缺少簽名校驗(yàn)，加上路徑穿越漏洞，攻擊者可以偽造更新包，把惡意程序?qū)懭?/span>Windows啟動(dòng)目錄，并在用戶每次開(kāi)機(jī)登錄時(shí)靜默執(zhí)行。

這一幕其實(shí)并不陌生。

過(guò)去幾年，從SolarWinds到3CX，大量高危攻擊都在證明一件事，黑客越來(lái)越喜歡偽裝成“系統(tǒng)自己的行為”。相比正面突破防線，劫持更新鏈路、污染軟件生態(tài)，往往更隱蔽，也更難被察覺(jué)。

AI軟件如今正在迅速進(jìn)入同樣的危險(xiǎn)階段。

因?yàn)?/span>AI生態(tài)更新頻繁、組件復(fù)雜、第三方插件眾多，很多項(xiàng)目為了追求性能和開(kāi)發(fā)效率，會(huì)主動(dòng)繞過(guò)部分安全限制。尤其是在開(kāi)源AI框架高速擴(kuò)張的背景下，大量企業(yè)甚至還沒(méi)建立完整的AI安全審計(jì)機(jī)制。

現(xiàn)實(shí)里最常見(jiàn)的情況是，業(yè)務(wù)部門急著接入AI，技術(shù)團(tuán)隊(duì)忙著部署模型，安全部門最后才被通知“幫忙看一下”。可問(wèn)題在于，AI系統(tǒng)一旦被攻破，影響范圍往往遠(yuǎn)超傳統(tǒng)業(yè)務(wù)系統(tǒng)。

數(shù)據(jù)庫(kù)泄露，泄露的是結(jié)果；AI推理泄露，暴露的卻可能是整個(gè)決策過(guò)程。

這也是為什么，這次Ollama漏洞在安全圈引發(fā)的震動(dòng)遠(yuǎn)比普通漏洞更大。它暴露出的，不只是某個(gè)框架的缺陷，而是整個(gè)AI基礎(chǔ)設(shè)施正在快速形成新的攻擊面。

對(duì)于企業(yè)來(lái)說(shuō)，現(xiàn)在至少有幾件事必須立刻去做：不要將Ollama直接暴露公網(wǎng)；所有AI接口必須增加認(rèn)證和訪問(wèn)控制；嚴(yán)格限制模型上傳來(lái)源；Windows環(huán)境盡量關(guān)閉自動(dòng)更新，并檢查啟動(dòng)目錄是否存在異常程序。

但更重要的，可能還是認(rèn)知上的轉(zhuǎn)變。

過(guò)去，企業(yè)最重要的資產(chǎn)存放在數(shù)據(jù)庫(kù)；現(xiàn)在，這些核心信息正在流向Prompt、上下文緩存、Agent調(diào)用鏈以及推理內(nèi)存。很多傳統(tǒng)安全設(shè)備對(duì)此幾乎沒(méi)有感知能力，而黑客已經(jīng)開(kāi)始盯上這里。

可以預(yù)見(jiàn)，未來(lái)幾年，AI基礎(chǔ)設(shè)施安全很可能會(huì)成為網(wǎng)絡(luò)攻防最激烈的新戰(zhàn)場(chǎng)。

而這次“Ollama漏洞事件”，更像是一場(chǎng)提前到來(lái)的警告。當(dāng)越來(lái)越多企業(yè)把“大腦”交給AI時(shí)，黑客也已經(jīng)開(kāi)始研究，應(yīng)該如何進(jìn)入這個(gè)“大腦”。