CVE-2026-7482:Ollama「出血骆驼」内存泄露漏洞——30万台AI推理服务器裸奔
2026年5月,Cyera研究团队披露了一个CVSS 9.1的严重漏洞(CVE-2026-7482),影响全球约30万台Ollama服务器。攻击者无需任何认证,即可泄露Ollama进程的完整内存——包括用户提示词、系统提示词和环境变量中的API密钥。这是AI基础设施领域2026年最严重的安全事件之一。
漏洞概述:什么是「出血骆驼」
CVE-2026-7482被命名为「Bleeding Llama」(出血骆驼),由Cyera安全研究员Dor Attias于2026年5月5日公开披露。该漏洞存在于Ollama的/api/create端点中,具体原因是Ollama在Go语言中使用了unsafe包进行低级内存操作,而这段代码存在越界内存读取(Out-of-Bounds Read)缺陷。
Ollama是一个开源的本地LLM推理平台,GitHub星标超过17万,Docker Hub下载量超过1亿次。它允许用户在本地机器上运行Llama、Mistral等开源大模型,无需依赖云端服务。正因如此,大量企业和开发者将Ollama部署在生产环境中——而这些服务器中的绝大多数从未启用认证。
| 字段 | 详情 |
|---|---|
| CVE编号 | CVE-2026-7482 |
| 代号 | Bleeding Llama |
| CVSS评分 | 9.1(Critical) |
| 漏洞类型 | 越界内存读取(Out-of-Bounds Read) |
| 影响版本 | 所有Ollama版本 |
| 认证要求 | 无需认证 |
| 影响范围 | 全球约30万台服务器 |
| 发现者 | Dor Attias, Cyera Research Labs |
| 公开日期 | 2026年5月5日 |
技术原理:Go语言unsafe包的致命陷阱
Go语言以内存安全著称,但为了性能优化,它提供了一个unsafe包作为「逃生舱口」——允许开发者绕过类型系统和内存安全检查进行底层操作。Ollama在处理GGUF模型文件的量化(quantization)操作时使用了unsafe包,而这正是漏洞的根源。
GGUF(GPT-Generated Unified Format)是存储大模型权重的文件格式,内部包含张量(tensor)——本质上是多维数值数组,代表模型的训练参数。量化是将张量从高精度(如F32)转换为低精度(如F16)以减小模型体积和提升推理速度的过程。
漏洞触发路径如下:
用户上传GGUF文件 → /api/blobs/sha256:[digest]
创建模型实例 → /api/create(指定quantize参数)
解析GGUF文件 → 提取Layer(元数据+张量)
量化转换 → WriteTo函数处理每个张量
→ 源数据先转F32,再转目标格式
→ unsafe内存操作中存在越界读取
→ 泄露Ollama进程的完整内存空间
关键问题在于WriteTo函数在进行量化转换时,使用unsafe.Pointer直接操作内存,但对输入张量的边界检查不充分。攻击者可以通过构造恶意的GGUF文件,让量化过程读取超出张量缓冲区的内存区域。
攻击方式:零认证的内存窃取
攻击者只需向暴露的Ollama服务器发送两个API请求:
# 第一步:上传恶意构造的GGUF文件
curl -X POST http://target:11434/api/blobs/sha256:malicious_hash \
-H "Content-Type: application/octet-stream" \
--data-binary @malicious.gguf
# 第二步:触发量化操作,泄露内存
curl -X POST http://target:11434/api/create \
-H "Content-Type: application/json" \
-d '{"name":"exploit","from":"uploaded_model","quantize":"f16"}'
泄露的内存内容包括:
| 泄露数据类型 | 风险等级 | 说明 |
|---|---|---|
| 用户提示词(Prompts) | 🔴 高 | 包含敏感业务数据、个人信息 |
| 系统提示词 | 🔴 高 | 包含系统配置、安全策略 |
| 环境变量 | 🔴 严重 | 可能包含API密钥、数据库密码 |
| 模型权重缓存 | 🟡 中 | 可能包含私有微调模型 |
| 会话历史 | 🔴 高 | 完整的推理对话记录 |
影响范围:30万台服务器的危机
Cyera研究团队通过Shodan和Censys扫描发现,全球约30万台Ollama服务器直接暴露在公网上,且绝大多数没有启用任何认证机制。这些服务器主要分布在美国、中国、德国和日本。
受影响最严重的场景包括:
- 企业内部AI平台:许多公司使用Ollama为内部应用提供LLM推理服务,环境变量中存储了OpenAI、Anthropic等API密钥
- 云GPU实例:在AWS、GCP、Azure上运行的Ollama实例,IAM角色凭据可能被泄露
- 开发测试环境:开发者的本地Ollama实例通过ngrok等工具暴露到公网
- AI SaaS后端:部分SaaS产品使用Ollama作为推理后端,用户数据面临泄露风险
检测方法:你的服务器是否受影响
检查你的Ollama服务器是否暴露在公网上:
# 检查Ollama是否监听公网
netstat -tulnp | grep 11434
# 检查Ollama配置
cat /etc/systemd/system/ollama.service | grep OLLAMA_HOST
# 如果输出包含 0.0.0.0:11434,则暴露在公网
# 安全配置应为 127.0.0.1:11434(仅本地访问)
使用Shodan自查:
# 搜索暴露的Ollama实例
# 在Shodan搜索栏输入:
product:"Ollama" port:11434
# 或使用Shodan CLI
shodan search "product:Ollama port:11434" --fields ip_str,port
修复方案与防御策略
目前Ollama官方尚未发布专门的安全补丁。以下为推荐的防御措施:
| 优先级 | 措施 | 说明 |
|---|---|---|
| 🔴 紧急 | 限制网络访问 | 将OLLAMA_HOST设置为127.0.0.1 |
| 🔴 紧急 | 添加认证层 | 使用nginx反向代理+Basic Auth |
| 🟡 高 | 网络分段 | 将Ollama部署在内网,不暴露公网端口 |
| 🟡 高 | 环境变量清理 | 不在Ollama进程环境中存储敏感密钥 |
| 🟢 中 | WAF规则 | 阻止/api/create和/api/blobs端点的外部访问 |
| 🟢 中 | 监控告警 | 监控/api/create调用频率和异常请求 |
nginx反向代理配置示例:
server {
listen 443 ssl;
server_name ollama.internal.com;
ssl_certificate /etc/ssl/cert.pem;
ssl_certificate_key /etc/ssl/key.pem;
# Basic Auth
auth_basic "Ollama Access";
auth_basic_user_file /etc/nginx/.htpasswd;
# 限制API端点
location /api/create {
deny all;
}
location /api/blobs {
deny all;
}
location /api/ {
proxy_pass http://127.0.0.1:11434;
}
}
同类漏洞对比:AI基础设施安全形势
CVE-2026-7482并非孤立事件。2026年上半年,AI基础设施领域已出现多个严重漏洞:
| CVE | 产品 | CVSS | 类型 | 影响 |
|---|---|---|---|---|
| CVE-2026-7482 | Ollama | 9.1 | 内存泄露 | 30万台服务器 |
| CVE-2026-21858 | n8n | 10.0 | RCE | 10万台服务器 |
| CVE-2026-33696 | n8n | 9.4 | 原型污染RCE | 工作流自动化 |
| CVE-2026-1470 | n8n | 9.9 | 沙箱逃逸 | JS执行环境 |
这组数据表明,AI和自动化工具正在成为攻击者的首选目标。原因很简单:这些平台通常拥有高权限、存储大量凭据、且安全防护远不如传统企业软件成熟。
从业者视角:为什么这个漏洞值得重视
从安全从业者的角度看,CVE-2026-7482的危险性不仅在于技术层面,更在于它暴露了AI基础设施安全管理的系统性缺陷:
第一,认证缺失是常态而非例外。 Ollama默认不启用认证,而大多数用户从未配置过。这与早期MongoDB、Elasticsearch暴露在公网的问题如出一辙。
第二,AI平台的权限过高。 Ollama进程的环境变量中往往存储着各种API密钥和凭据,一旦内存泄露,攻击者可以获得横向移动的跳板。
第三,安全社区对AI工具的关注不足。 相比传统Web应用和操作系统,AI推理平台的安全审计和漏洞赏金覆盖率极低。
对于企业安全团队,建议将Ollama等AI推理平台纳入资产清单和漏洞管理流程,定期扫描公网暴露面,并实施最小权限原则。
数据来源与参考文献
- Cyera Research. "Bleeding Llama: Critical Unauthenticated Memory Leak in Ollama." cyera.com, May 5, 2026.
- NVD. "CVE-2026-7482." nvd.nist.gov, 2026.
- Shodan. "Ollama exposed instances statistics." shodan.io, 2026.
- GitHub. "Ollama Repository." github.com/ollama/ollama, 2026.
- Docker Hub. "Ollama Official Image." hub.docker.com, 2026.
更新时间:2026-06-13
评论