30万只羊驼数据泄露面临隐私安全风险

Ollama作为一款开源大语言模型本地部署工具，有效解决了数据隐私与成本控制的核心痛点，正成为众多企业与开发者构建AI基础设施的首选方案。然而，其“开箱即用、默认开放”的设计理念，若缺乏相应的安全加固，反而可能将系统暴露于风险之中。

近期，一个被命名为“流血的羊驼”（Bleeding Llama）的高危安全漏洞引发广泛关注。据安全研究公司Cyera披露，该漏洞存在于Ollama的广泛部署版本中，可能影响全球约30万个对外暴露的实例。其漏洞编号为CVE-2026-7482，CVSS风险评分高达9.3分，属于严重级别安全威胁。

该漏洞的根源在于Ollama的模型加载机制存在堆内存越界读取缺陷。攻击者可通过精心构造的GGUF格式模型文件，伪造其中的张量偏移量与大小参数，诱导程序读取超出分配范围的内存区域。此举可能导致敏感内存数据泄露，包括用户对话提示词、系统指令、环境变量，乃至API密钥、访问令牌等核心身份凭据。

更值得警惕的是，漏洞利用门槛极低。研究人员证实，整个攻击链无需任何身份验证，仅需调用三次API即可完成：首先上传恶意模型文件，随后触发模型加载与处理流程，最终利用Ollama内置的模型推送功能，将窃取到的内存数据直接回传至攻击者控制的服务器。

Ollama的默认配置进一步放大了风险。系统默认不启用身份认证，且监听所有网络接口，这意味着任何暴露于公网的实例都可能成为远程攻击的直接目标。Cyera评估显示，目前互联网上约有30万个可公开访问的Ollama实例，使得该漏洞具备“开箱即用、影响广泛”的显著特征。

潜在的数据泄露后果极为严重。除用户与AI的交互记录外，企业内部源代码、业务逻辑、包含个人身份信息（PII）的数据集，甚至医疗健康等敏感信息均可能被窃取。对于依赖本地大模型处理关键业务的企业而言，此类风险尤为突出。

值得注意的是，这并非Ollama首次暴露安全短板。早前已有研究指出，大量Ollama实例长期处于无防护的公开状态，缺乏基本的访问控制与安全监控。例如，全球超过17.5万台主机曾公开暴露Ollama服务接口，其中部分实例甚至允许远程代码执行或外部系统访问，存在明显的滥用风险。这清晰表明，AI基础设施在快速普及的同时，其安全治理体系并未同步完善。

“流血的羊驼”漏洞折射出一个典型的安全盲区：对外部输入数据缺乏严格校验。在此案例中，模型加载器过度信任用户提交的文件元数据，未能验证其与实际数据长度的一致性，最终导致越界内存访问。此类问题在传统软件中虽不罕见，但在AI系统中，由于涉及复杂的模型格式与处理流程，其潜在危害被进一步放大。

如何应对与反思

目前，安全专家提出以下切实可行的缓解建议：首先，应避免将Ollama实例直接暴露于公网，优先部署在受信任的内网或隔离环境中。其次，务必启用并配置强身份认证机制，同时通过防火墙策略或访问控制列表（ACL）严格限制访问源IP。此外，应对模型上传功能实施来源白名单机制，并对所有输入数据进行严格的格式与范围校验。

若将视野拓展至整个行业，此次事件再次警示：随着生成式AI与本地大模型的规模化应用，AI系统本身正成为新兴的高价值攻击目标。与传统IT系统相比，AI系统不仅处理代码与数据，更涉及模型权重、提示工程与复杂推理流程，其攻击面更加多元且隐蔽。一旦发生安全事件，泄露的不仅是数据，更可能包括企业的核心算法与业务逻辑。

展望未来，企业在部署AI基础设施时，亟需将安全设计前置，从“事后补救”转向“事前预防”。这包括在架构层面贯彻“安全默认”原则，在开发阶段实施严格的安全测试与代码审计，并在运行期建立持续的行为监控与异常检测机制。同时，开源社区需加快安全响应流程，确保漏洞能够被及时识别、修复与透明披露。

“流血的羊驼”漏洞的曝光，不仅揭示了Ollama自身的安全缺陷，更如同一面镜子，映照出当前AI基础设施在安全治理方面的普遍不足。在AI技术加速落地的今天，如何在便捷性与安全性之间找到关键平衡点，已成为整个行业必须面对的核心课题。