Ollama 越界读取漏洞致远程进程内存泄漏

Ollama 曝高危安全漏洞：远程可窃取全量内存数据，Windows 版本存在持久化代码执行风险
网络安全研究人员近期公布了开源 AI 框架 Ollama 中的多项严重安全缺陷，一旦被恶意利用，可造成核心数据泄露乃至系统被长期控制。
一、高危漏洞：Bleeding Llama（流血的喇嘛）CVE-2026-7482
安全公司 Cyera 发现，Ollama 存在一处严重越界读取漏洞，可被远程、未授权攻击者直接读取整个进程内存。该漏洞 CVSS 评分高达 9.1，全球预计超过 30 万台服务器 面临威胁。
Ollama 是目前极受欢迎的本地大模型运行工具，GitHub 星标 17.1 万 +，大量个人与企业用于在本地部署 LLM 大语言模型。
漏洞原理
影响版本：Ollama 0.17.1 以下版本
漏洞点：GGUF 模型加载器存在堆越界读取问题
攻击者可构造恶意 GGUF 文件，通过 /api/create 接口上传
文件中填写的张量偏移与大小超出实际文件长度
系统在 WriteTo() 处理过程中直接读取超出合法范围的内存数据
根本原因：使用了 Go 的 unsafe 包，绕过了内存安全机制
攻击流程
攻击者向公网暴露的 Ollama 服务上传特制 GGUF 文件
调用创建模型接口触发越界读取
通过 /api/push 将泄露的内存数据外传至攻击者服务器
可能泄露的敏感信息
API 密钥、Token
环境变量、配置密钥
系统提示词（System Prompt）
用户实时对话内容
内部代码、合同、业务数据
若对接 Claude Code 等工具，相关输出也会被一并窃取
二、Windows 版 Ollama 两大漏洞可实现持久化控制
与此同时，安全团队 Striga 也披露了 Windows 版 Ollama 更新机制 中的两个高危漏洞，可组合利用实现开机自启、持久代码执行。漏洞自 2026 年 1 月公开后，在 90 天宽限期后完整细节已被披露。
漏洞详情
CVE-2026-42248（CVSS 7.7）Windows 版更新模块未校验安装包数字签名，攻击者可投放任意恶意程序。
CVE-2026-42249（CVSS 7.7）更新过程存在路径遍历漏洞，可将文件写入任意目录，包括开机启动文件夹。
攻击方式
攻击者劫持更新服务器或修改 OLLAMA_UPDATE_URL
客户端后台自动检查更新时，下载恶意程序
利用路径遍历写入启动目录
无签名检查 → 直接执行
实现登录自启、持久控制
影响范围
Ollama Windows 版 0.12.10 ~ 0.17.5 均受影响研究人员表示：0.12.10 ~ 0.22.0 范围内版本均存在风险
成功利用后，攻击者可：
上线反向 Shell
窃取浏览器密码、Cookie、SSH 密钥
植入木马、长期控制主机
以当前用户权限静默执行任意代码
三、官方建议与安全加固方案
针对 Bleeding Llama 漏洞：
尽快升级到 0.17.1 及以上修复版本
不要将 Ollama 直接暴露在公网
防火墙限制 11434 端口，仅内网可访问
在 API 前增加身份验证、API 网关
针对 Windows 持久化漏洞：
关闭自动更新
清除启动文件夹中的 Ollama 相关快捷方式
避免使用 HTTP 方式更新，防止被劫持
等待官方修复后再开启更新