Ollama高危漏洞背后，大模型正在成为新的黑客入口

#网安头条 ·2026-05-11 16:18:40

这两年，大模型本地化部署正在快速普及。越来越多的企业开始把代码仓库、内部知识库、客服系统甚至办公流程接入本地AI，而 Ollama 这类开源框架，也因此成为了AI部署领域最热门的基础设施之一。

但很多人没意识到，AI服务器一旦出问题，泄露的已经不只是数据库，而是企业最核心的“思维中枢”。

最近，安全研究人员披露了一组关于Ollama的严重漏洞，其中影响最大的一项被编号为“CVE-2026-7482”，研究团队将其命名为“Bleeding Llama”。这个漏洞最危险的地方在于，攻击者甚至不需要登录认证，只要目标Ollama服务暴露在公网，就可能通过一个伪造的模型文件，直接读取服务器进程中的敏感内存数据。

很多传统漏洞的目标，是获取权限、植入木马、控制系统，但这次攻击的逻辑完全不同。它更像是在“偷看大脑”。

漏洞本质属于“越界读取”。攻击者会构造一个特殊的GGUF模型文件，在模型参数里故意伪造超大的张量尺寸，诱导程序读取本不属于它的数据区域。由于Ollama在处理模型量化时缺乏足够的边界校验，最终导致内存中的敏感信息被直接带出。

而真正的问题，并不只是技术细节本身。

现在很多企业部署AI服务，安全意识还停留在传统Web时代。开发团队更关心模型能不能跑起来、响应够不够快，却很少有人认真评估推理服务到底接触了多少敏感数据。事实上，大模型推理服务器已经成为新的数据聚合中心。

用户的聊天记录、内部代码、API密钥、系统提示词、业务文档，甚至多个用户的实时上下文，都可能短暂存放在推理内存中。一旦漏洞被利用，攻击者拿走的不是一份数据库备份，而是企业运行过程中最真实、最动态的数据切片。

尤其是在AI编程场景里，这种风险会被进一步放大。

如今不少开发团队已经习惯把 Claude Code 等AI工具与本地推理框架联动使用。代码生成、终端操作、SSH调用、日志分析，都会经过推理服务器处理。换句话说，AI服务器看到的东西，往往比传统办公系统还敏感。

从某种意义上说，大模型正在成为企业内部新的“超级入口”。

而就在内存泄露漏洞曝光后，研究人员又披露了Ollama Windows客户端另外两项漏洞。这次的问题出现在自动更新机制上，由于缺少签名校验，加上路径穿越漏洞，攻击者可以伪造更新包，把恶意程序写入Windows启动目录，并在用户每次开机登录时静默执行。

这一幕其实并不陌生。

过去几年，从SolarWinds到3CX，大量高危攻击都在证明一件事，黑客越来越喜欢伪装成“系统自己的行为”。相比正面突破防线，劫持更新链路、污染软件生态，往往更隐蔽，也更难被察觉。

AI软件如今正在迅速进入同样的危险阶段。

因为AI生态更新频繁、组件复杂、第三方插件众多，很多项目为了追求性能和开发效率，会主动绕过部分安全限制。尤其是在开源AI框架高速扩张的背景下，大量企业甚至还没建立完整的AI安全审计机制。

现实里最常见的情况是，业务部门急着接入AI，技术团队忙着部署模型，安全部门最后才被通知“帮忙看一下”。可问题在于，AI系统一旦被攻破，影响范围往往远超传统业务系统。

数据库泄露，泄露的是结果；AI推理泄露，暴露的却可能是整个决策过程。

这也是为什么，这次Ollama漏洞在安全圈引发的震动远比普通漏洞更大。它暴露出的，不只是某个框架的缺陷，而是整个AI基础设施正在快速形成新的攻击面。

对于企业来说，现在至少有几件事必须立刻去做：不要将Ollama直接暴露公网；所有AI接口必须增加认证和访问控制；严格限制模型上传来源；Windows环境尽量关闭自动更新，并检查启动目录是否存在异常程序。

但更重要的，可能还是认知上的转变。

过去，企业最重要的资产存放在数据库；现在，这些核心信息正在流向Prompt、上下文缓存、Agent调用链以及推理内存。很多传统安全设备对此几乎没有感知能力，而黑客已经开始盯上这里。

可以预见，未来几年，AI基础设施安全很可能会成为网络攻防最激烈的新战场。

而这次“Ollama漏洞事件”，更像是一场提前到来的警告。当越来越多企业把“大脑”交给AI时，黑客也已经开始研究，应该如何进入这个“大脑”。