侧重技术细节与攻击面深度（适合技术深度复盘）

越界读取与持久化后门：Ollama框架17.5万攻击面的供应链安全危机实录

随着大型语言模型（LLM）在开发领域的普及，以Ollama为代表的开源本地化部署框架极大地降低了AI应用落地的门槛。然而，这种“开箱即用”的便利性背后，正隐藏着巨大的AI供应链安全隐患。近期，SentinelOne、Censys等安全机构披露的数据显示，全球互联网上公开暴露的Ollama实例已超过17.5万个，其中中国占比超过30%。更令人警惕的是，伴随Bleeding Llama（CVE-2026-7482）等高危漏洞的曝光，这些暴露的节点已不再是单纯的算力浪费，而是演变成了新一代AI基础设施的“肉鸡”网络。本文将从技术底层逻辑出发，深度复盘这场席卷全球的AI供应链安全危机。

一、 核心漏洞剖析：当推理引擎开始“内存裸奔”

此次危机的核心技术引爆点，是Cyera研究团队披露的“Bleeding Llama”漏洞（CVE-2026-7482）。这并非一个普通的配置失误，而是一个深埋在Ollama量化管道中的堆越界读取缺陷。

从代码实现层面来看，该漏洞源于Ollama在处理GGUF（GPT生成统一格式）模型文件时的解析逻辑缺陷。攻击者可以构造一个特制的恶意GGUF文件，在其中声明远超实际数据大小的张量尺寸（Tensor Size）。当Ollama服务加载该模型时，由于缺乏对offset + size是否超出文件实际长度的严格校验，程序会触发越界读取，直接访问堆内存中预期缓冲区边界之外的内容。

这一过程的阴险之处在于其“零感知”特性。服务器不会崩溃，日志中也不会留下明显的报错痕迹。攻击者仅需通过三次精心构造的API请求（创建模型、推送模型等），就能将夹带私货的模型推送到攻击者控制的仓库，完成数据外泄。

在内存的“临时仓库”中，攻击者能捞取到什么？答案是灾难性的：用户近期的完整聊天消息、所有运行模型的内部系统提示词（System Prompt）、跨用户的对话历史，甚至是最致命的环境变量——包括云服务商API密钥、数据库密码及第三方SaaS令牌。这意味着，攻击者不仅窃取了数据，更直接复制了AI服务的“大脑记忆”。

二、 攻击面扩张：从默认配置到“奇异集市”

如果说Bleeding Llama是锋利的矛，那么Ollama庞大的暴露面就是脆弱的盾。Ollama默认仅绑定本地回环地址（127.0.0.1:11434），但开发者为了远程调用，往往将其修改为绑定0.0.0.0并直接暴露在公网，且绝大多数实例未开启任何身份验证。

这种草率的部署实践催生了“LLM劫持”攻击链。安全厂商Pillar Security归因的“Operation Bizarre Bazaar”（奇异集市行动）揭示了完整的黑产闭环：

1. 自动化侦察：攻击者使用扫描工具全网探测开放的11434端口。

2. 能力评估：发送测试请求验证端点有效性，近一半的暴露主机启用了“工具调用”功能，这意味着模型不仅能聊天，还能执行代码、调用外部API。

3. 资源变现：威胁行为者（如Hecker）搭建名为silver.inc的攻击者网站，充当统一的LLM API网关，将劫持来的30多个大模型作为“廉价AI算力”在暗网或专业市场转售。

受害者承担了电力和基础设施成本，而攻击者却以零边际成本利用这些算力进行大规模钓鱼邮件生成、虚假信息传播甚至恶意软件开发。

三、 纵深防御：止血方案与架构重塑

面对指数级膨胀的AI攻击面，传统的边界防护已显捉襟见肘。针对此次危机，企业与开发者必须采取紧急且系统的防御措施：

1. 紧急补丁与资产清查：立即将所有Ollama实例升级至0.17.1及以上版本，官方已在此版本中修复了量化器的长度检查逻辑。同时，企业需对内网进行全量扫描，排查未经授权的“影子IT”实例。

2. 默认即销毁的密钥管理：如果Ollama服务器曾暴露在互联网，必须默认内存中的环境变量和机密已经泄露。立即轮换所有相关的API密钥、令牌和凭证是唯一的止损方式。

3. 构建AI专属的零信任架构：绝不能将AI框架直接裸露在公网。必须在Ollama前端部署带有强身份验证的API网关或反向代理，实施严格的IP白名单过滤。对于内网部署，也应通过网络分段将其隔离在独立的安全域中。

Bleeding Llama或许只是AI基础设施安全觉醒的一个分水岭。它残酷地提醒我们：当大模型从“玩具”变为关键的生产工具时，任何监听端口、处理敏感数据的AI框架，都必须被纳入最高级别的关键基础设施进行管控。本地部署不等于绝对安全，唯有正视供应链的每一个技术细节，才能避免成为下一代僵尸网络的一部分。