知名本地大模型运行框架 Ollama 近日被披露一个严重安全漏洞，攻击者只需上传一个精心构造的模型文件，就能远程读取服务器进程内存中的敏感信息，包括环境变量、API 密钥以及同一进程内其他用户的对话数据。该漏洞在 CVSS 3.1 中评分高达 9.1，影响全球超过 30 万个暴露在公网的实例。

一个恶意 GGUF 文件就能打开内存之窗

漏洞编号 CVE-2026-7482，被 Cyera 研究团队命名为“Bleeding Llama”。它属于典型的堆越界读取（CWE-125），问题出在 Ollama 加载 GGUF 格式模型并执行量化操作的过程中。GGUF 是当前本地运行大模型的主流文件格式，它的元数据会声明模型中各张量的偏移量和大小。

当攻击者通过 `/api/create` 接口提交一个“说谎”的 GGUF 文件——声明的张量区域远大于文件实际长度——由于底层代码在处理时未做充分的边界校验，程序就会越过分配好的堆缓冲区继续读取，从而把紧邻内存中的其他数据一同“看”了进去。

这些额外读到的内容，可能恰好包含 Ollama 进程运行时留在堆中的环境变量、API 密钥、系统提示词，甚至是同一服务器上其他用户正在进行的大模型会话记录。一旦数据被读入模型构建后的产物中，攻击者再通过 `/api/push` 接口把带毒模型制品推送到自己控制的注册表，就能完成一次静默的数据窃取。

默认监听配置决定生死

漏洞的利用门槛极低。Ollama 的 REST API 默认不提供任何身份认证，而 `/api/create` 与 `/api/push` 正是其中两个直接被用来完成攻击链的关键端点。如果 Ollama 保持默认的 `127.0.0.1`（仅本机）监听，远程攻击便无从下手。但许多用户为了方便远程调用，将服务绑定到 `0.0.0.0`，并配合公网 IP 直接暴露，此时攻击者仅需一条 HTTP POST 请求即可投递恶意文件，随后的越界读和数据外传都在正常 API 调用层面完成，隐蔽性极高。

更危险的“后门”：Windows 客户端可被持久植入

几乎是同一时间，安全公司 Striga 公布了另一组针对 Ollama Windows 桌面客户端的漏洞，目前尚未修补。这组漏洞由路径遍历（CVE-2026-42249）和更新签名校验缺失（CVE-2026-42248）串联而成，影响从 0.12.10 到 0.22.0 的几乎所有 Windows 版本。

Ollama Windows 客户端在用户登录时自动从启动文件夹启动，默认勾选自动更新，并在本地 `127.0.0.1:11434` 监听。更新过程会周期性询问更新服务器，却不会验证下载的更新二进制文件是否带有合法签名（macOS 版却有签名校验）。同时，更新器在创建本地暂存目录时，直接使用 HTTP 响应头中的路径字段，未做任何清理，导致目录可以被“..”等字符重定向到任意位置。

将这两点与自动启停机制结合，中间人攻击者或控制了更新服务器的攻击者就能在用户登录时将一个恶意可执行文件直接写入系统的“启动”文件夹。下次启动时，Windows 便会默默执行该文件，实现持久化代码执行。即便官方推送了合法更新，覆盖了被篡改的文件，路径遍历漏洞仍能让攻击者将恶意代码写在非标准目录，从而逃过清理。

该做什么？

对于 CVE-2026-7482，所有 Ollama 用户都应立即升级到 0.17.1 及以上版本。同时，必须收紧网络暴露面：务必为 Ollama 实例部署反向代理并启用强身份认证，禁止 API 端口直接暴露在公网；云环境中通过安全组或防火墙严格限制来源 IP。若曾将 Ollama 暴露在不受信任的网络中运行，应尽快轮换使用过的 API 密钥、访问凭据，并评估潜在的数据泄露范围。

对于 Windows 客户端漏洞，鉴于官方补丁尚未发布，最直接的缓解措施是关闭自动更新，并手动删除位于`%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup` 中的 Ollama 快捷方式，阻断其登录后静默自启的路径。

资讯来源：The Hacker News、Cyera、Striga、CERT Polska 等