文章总结： 近日，安全研究公司Cyera披露了名为流血的羊驼的严重漏洞（CVE-2026-7482，CVSS评分9.3），该漏洞存在于开源大模型运行工具Ollama的模型加载机制中，存在堆内存越界读取问题。攻击者可通过构造恶意模型文件，无需身份验证即可读取敏感内存数据（如API密钥、提示词、环境变量等），并利用API接口将数据外泄至攻击者服务器。目前约30万个暴露实例面临风险，专家建议避免公网暴露、启用身份认证、限制访问来源并加强输入验证。 综合评分： 92 文章分类： 漏洞分析,漏洞预警,AI安全,数据安全,应用安全

30万只“流血的羊驼”面临数据泄露

河南等级保护测评

2026年5月8日 00:00 河南

在小说阅读器读本章

去阅读

以下文章来源于豫说网数安 ，作者何威风

豫说网数安 .

网络安全人人有责，贯彻网络安全为人民，网络安全靠人民。网络安全和信息化是相辅相成的。安全是发展的前提，发展是安全的保障，安全和发展要同步推进。

近日，一项被命名为“流血的羊驼”的严重安全漏洞引发业界广泛关注。安全研究公司Cyera披露，该漏洞存在于广泛使用的开源大模型运行工具Ollama中，可能影响约30万个对外暴露的部署实例。这一问题被标记为CVE-2026-7482，CVSS评分高达9.3，属于极高危级别漏洞。

Ollama是一款用于在本地运行大语言模型（LLM）的开源工具，因其无需依赖云端服务、能够保护数据隐私以及具备较低使用成本等优势，被众多企业和开发者采用，逐渐成为AI基础设施的重要组成部分。然而，正是这种“本地部署、默认开放”的设计，在安全配置不足的情况下，反而放大了攻击面。其实，很多单位在部署时，常常是默认状态，这也说明这些单位网络安全工作缺乏最基础的配置规则。

此次漏洞的根源在于Ollama的模型加载机制中存在堆内存越界读取（heap out-of-bounds read）问题。攻击者可以构造一个特制的GGUF模型文件，通过伪造张量偏移和大小信息，使程序在处理文件时读取超出分配范围的内存区域。这些被“越界读取”的数据，可能包含大量敏感信息，例如用户输入的提示词、系统消息、环境变量，以及API密钥、访问令牌等关键凭据。

更为严重的是，该漏洞几乎不需要攻击门槛。研究人员指出，攻击过程无需身份验证，仅需调用三次API接口即可完成攻击链。首先上传恶意模型文件，其次触发模型处理过程，最后利用Ollama内置的模型推送功能，将包含敏感内存数据的结果发送至攻击者控制的服务器，实现数据外泄。

此外，Ollama默认配置也加剧了风险。系统在启动时通常不会启用身份验证，并监听所有网络接口，这意味着只要实例暴露在公网，就可能被远程攻击者直接利用。据国外安全研究机构Cyera估计，目前约有30万个此类实例可在互联网上访问，这使得漏洞具备“即刻可利用、影响范围极广”的特点。

这一漏洞不仅可能泄露用户与AI系统之间的交互内容，还可能暴露企业内部代码、业务逻辑以及包含个人隐私的数据（如PII）甚至医疗信息（PHI）。对于依赖本地大模型处理敏感数据的企业而言，这种风险尤为突出。

这并非Ollama首次暴露安全隐患。此前研究已经发现，大量Ollama实例长期处于暴露状态，缺乏基本的访问控制与监控机制。例如安全机构早前曾统计发现，全球存在超过17.5万个公开暴露的Ollama主机，其中相当一部分能够执行代码或访问外部系统，存在被滥用的潜在风险。 这表明，AI基础设施在快速普及的同时，其安全治理仍明显滞后。

“流血的羊驼”漏洞反映出一个典型问题：对外部输入数据缺乏严格校验。在该案例中，模型加载器信任了用户提供的文件元数据，却没有验证其与实际数据长度的一致性，从而导致越界访问。这类问题在传统软件开发中已较为常见，但在AI系统中，由于涉及复杂的数据格式与模型处理流程，其危害被进一步放大。

目前，安全专家建议采取多项缓解措施。首先，应避免将Ollama实例直接暴露在公网，尽量限制其运行在受信任的内网环境；其次，应启用身份认证机制，并通过防火墙或访问控制列表限制访问来源；此外，对于模型上传功能，应仅允许可信来源的数据，并加强输入验证。

从更宏观的视角去看，这一事件再次提醒业界，随着生成式AI和本地大模型的普及，AI系统本身正逐渐成为新的攻击目标。与传统IT系统不同，AI系统不仅处理代码和数据，还涉及模型权重、提示词和推理过程，其攻击面更加复杂。一旦出现漏洞，泄露的不仅是数据，还可能包括企业的核心算法和业务逻辑。

未来，企业在部署AI基础设施时，需要将安全设计前置，而不是事后补救。这包括在架构层面引入“默认安全”（secure by default）原则，在开发阶段进行严格的安全测试，以及在运行过程中持续监控异常行为。同时，开源社区也需要加强对安全问题的响应速度，确保漏洞能够被及时修复和披露。

“流血的羊驼”漏洞的曝光，不仅揭示了Ollama自身的安全缺陷，也折射出当前AI基础设施在安全治理方面的普遍短板。在AI技术快速落地的背景下，如何在便利性与安全性之间取得平衡，将成为未来行业必须面对的重要课题。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：河南等级保护测评 《30万只“流血的羊驼”面临数据泄露》