前言

隨著deepseek的在網(wǎng)絡(luò)上的爆火，如何部署私有大模型已經(jīng)是當(dāng)前的熱門話題，越來越多的人開始嘗試在本地部署私有化AI服務(wù)。其中,Ollama憑借其便捷的部署體驗(yàn),成為了站在風(fēng)口浪尖的明星工具。

專屬于自己/公司的大模型可以實(shí)現(xiàn)高度的自主可控，企業(yè)或組織能完全掌控?cái)?shù)據(jù)的存儲(chǔ)、訪問和使用權(quán)限，確保敏感數(shù)據(jù)不被外部未經(jīng)授權(quán)的人員獲取，滿足對(duì)數(shù)據(jù)保密性要求高的場(chǎng)景，如金融機(jī)構(gòu)的客戶交易數(shù)據(jù)、醫(yī)療企業(yè)的患者隱私信息等。還可以針對(duì)特定業(yè)務(wù)領(lǐng)域和任務(wù)進(jìn)行定制開發(fā)，融入專業(yè)知識(shí)和業(yè)務(wù)規(guī)則，使模型更貼合實(shí)際業(yè)務(wù)需求，提供更精準(zhǔn)、有效的服務(wù)。

但在實(shí)際工作中發(fā)現(xiàn)，我們發(fā)現(xiàn)Ollama大型語言模型工具的服務(wù)器存在未授權(quán)訪問情況和信息泄露風(fēng)險(xiǎn)。

一、Ollama

Ollama是一款開源的跨平臺(tái)大模型工具，旨在簡化大語言模型（LLMs）的部署和運(yùn)行，能讓用戶在Windows、Linux和macOS設(shè)備上輕松地進(jìn)行本地部署。其操作簡單，深受開發(fā)者喜愛，在GitHub上收獲了眾多關(guān)注 ，也有大量用戶從Docker Hub上進(jìn)行拉取使用。它就像是一個(gè)便捷的“模型管家”，幫助用戶快速搭建起自己的AI模型運(yùn)行環(huán)境。

經(jīng)行業(yè)監(jiān)測(cè)數(shù)據(jù)顯示，Ollama（大語言模型服務(wù)工具）在大模型服務(wù)器中，有88.9%都“裸奔”在互聯(lián)網(wǎng)上，導(dǎo)致任何人不需要任何認(rèn)證即可隨意調(diào)用、在未經(jīng)授權(quán)的情況下訪問這些服務(wù)。私有AI模型的無序搭建，存在系統(tǒng)安全隱患。

二、有哪些安全隱患

1. 未授權(quán)訪問風(fēng)險(xiǎn)：在默認(rèn)配置下，Ollama會(huì)在本地啟動(dòng)一個(gè)Web服務(wù)，并開放11434端口，且這一端口沒有任何鑒權(quán)機(jī)制。這就好比你家門沒鎖，任何人都能隨意進(jìn)入。攻擊者無需任何認(rèn)證即可直接訪問模型服務(wù)，他們可以隨意調(diào)用模型接口，獲取模型信息，甚至通過惡意指令刪除模型文件或竊取數(shù)據(jù) 。

2. 數(shù)據(jù)泄露危機(jī)：Ollama的某些接口，如/api/show，允許用戶獲取模型的license等敏感信息。攻擊者可以利用這些接口，輕松提取模型數(shù)據(jù)，從而引發(fā)數(shù)據(jù)泄露風(fēng)險(xiǎn)。在數(shù)據(jù)成為重要資產(chǎn)的今天，這種風(fēng)險(xiǎn)無疑是對(duì)企業(yè)和用戶隱私的巨大威脅。

3. 歷史漏洞利用：Ollama框架存在多個(gè)已知的歷史漏洞（如CVE-2024-39720/39722/39719/39721 ）。攻擊者可以利用這些漏洞，實(shí)施數(shù)據(jù)投毒、參數(shù)竊取、惡意文件上傳以及關(guān)鍵組件刪除等操作。這不僅會(huì)破壞模型服務(wù)的核心數(shù)據(jù)和算法完整性，還會(huì)嚴(yán)重影響運(yùn)行穩(wěn)定性，甚至可能導(dǎo)致整個(gè)系統(tǒng)癱瘓。例如，利用CVE-2024-39722這個(gè)路徑遍歷漏洞，攻擊者能獲取服務(wù)器上的文件信息，造成數(shù)據(jù)泄露。

Ollama大語言模型服務(wù)工具還存在遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2024-37032）該漏洞允許通過路徑遍歷任意寫入文件，從而導(dǎo)致遠(yuǎn)程代碼執(zhí)行，一旦被惡意利用，將導(dǎo)致服務(wù)器存儲(chǔ)信息泄露等后果。

二、風(fēng)險(xiǎn)復(fù)現(xiàn)

(1) Ollama未授權(quán)訪問調(diào)用

發(fā)現(xiàn)存在Ollama未授權(quán)訪問，可隨意調(diào)用，如下為復(fù)現(xiàn)步驟：訪問web頁面，通過接口/api/tags判斷Ollama模型工具內(nèi)安裝deepseek-r1；

(2)若部署 Ollama 服務(wù)時(shí)，沒有進(jìn)行必要的安全配置，例如限制監(jiān)聽地址或設(shè)置防火墻規(guī)則，導(dǎo)致任何人可以調(diào)用模型。默認(rèn)配置下的 Ollama 服務(wù)，存在被互聯(lián)網(wǎng)非授權(quán)訪問的風(fēng)險(xiǎn)，操作步驟如下：

1、使用Curl命令調(diào)用接口訪問未限制的模型

2、遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2024-37032）漏洞

發(fā)現(xiàn)資產(chǎn)存在Ollama遠(yuǎn)程代碼執(zhí)行漏洞（見附件），如下為復(fù)現(xiàn)步驟：訪問資產(chǎn)頁面，通過接口/api/version判斷Ollama版本低于0.1.34；

若低于該版本，則在私有服務(wù)器中部署惡意的私有模型倉庫，當(dāng)嘗試通過/api/push端點(diǎn)將此惡意模型推送到遠(yuǎn)程注冊(cè)表時(shí)，對(duì)方服務(wù)器會(huì)處理惡意文件。由于對(duì)摘要字段驗(yàn)證不當(dāng)，對(duì)方服務(wù)器會(huì)錯(cuò)誤地將有效載荷解釋為合法的文件路徑，導(dǎo)致任意文件讀取甚至是寫入惡意代碼。

復(fù)現(xiàn)流程包括在私有服務(wù)器中運(yùn)行Server.py和Poc.py，通過修改服務(wù)端和資產(chǎn)信息，操作步驟如下：

（1）運(yùn)行Server.py作為惡意私有模型倉庫

（2）設(shè)置測(cè)試攻擊資產(chǎn)，為http://xxxxx.xxxxxxxxx.com:10010

（3）服務(wù)器端返回/etc/passwd信息，存在該漏洞。

三、如何進(jìn)行安全加固

1. 限制監(jiān)聽范圍：將Ollama的11434端口限制為僅本地訪問，通過驗(yàn)證端口狀態(tài)，確保服務(wù)不會(huì)暴露在公網(wǎng)環(huán)境中。這樣可以有效阻止外部攻擊者對(duì)服務(wù)的直接訪問，為系統(tǒng)增加一道安全屏障。比如在Linux系統(tǒng)中，可以修改相關(guān)配置文件，將監(jiān)聽地址設(shè)置為127.0.0.1。

設(shè)置環(huán)境變量Environment="OLLAMA_HOST=127.0.0.1"，僅允許本地訪問。

2. 配置防火墻規(guī)則：對(duì)公網(wǎng)接口實(shí)施雙向端口過濾，徹底阻斷11434端口的出入站流量。這樣可以防止未授權(quán)訪問，同時(shí)減少攻擊者通過該端口發(fā)起攻擊的可能性。以常見的防火墻軟件為例，在其規(guī)則設(shè)置中添加對(duì)11434端口的禁止訪問規(guī)則。

3. 實(shí)施多層認(rèn)證與訪問控制：啟用API密鑰管理是保護(hù)接口安全的有效手段，定期更換密鑰，并限制調(diào)用頻率，可以有效防止密鑰泄露帶來的風(fēng)險(xiǎn)。此外，部署IP白名單或零信任架構(gòu)，僅授權(quán)可信設(shè)備訪問，可以進(jìn)一步增強(qiáng)系統(tǒng)的安全性。通過這種方式，即使攻擊者獲取了API密鑰，也無法輕易訪問系統(tǒng)。

4. 禁用危險(xiǎn)操作接口：某些接口，如push、delete和pull，具有較高的風(fēng)險(xiǎn)。建議禁用這些接口，并限制chat接口的調(diào)用頻率，以防止DDoS攻擊。通過這種方式，可以減少攻擊者利用接口進(jìn)行惡意操作的可能性，保護(hù)系統(tǒng)的穩(wěn)定運(yùn)行。

5. 修復(fù)歷史漏洞：及時(shí)更新軟件是修復(fù)漏洞的關(guān)鍵步驟。

針對(duì)路徑遍歷代碼執(zhí)行漏洞：升級(jí)到Ollama 0.1.34或更高版本。

在升級(jí)前，確保對(duì)digest字段進(jìn)行適當(dāng)驗(yàn)證，防止路徑遍歷攻擊

針對(duì)越界讀取漏洞：升級(jí)到Ollama 0.1.46或更高版本。

在升級(jí)前，對(duì)處理HTTP請(qǐng)求的代碼進(jìn)行審查和優(yōu)化，防止越界讀取攻擊。

四、結(jié)語

在使用大模型工具時(shí)，安全是不容忽視的重要環(huán)節(jié)。希望大家能夠重視Ollama的安全問題，及時(shí)采取加固措施，共同營造一個(gè)安全可靠的AI應(yīng)用環(huán)境。

本公眾號(hào)所發(fā)布的文章皆源自于互聯(lián)網(wǎng)轉(zhuǎn)載或作者投稿并授予的原創(chuàng)作品，文章末尾有詳細(xì)出處標(biāo)注，其內(nèi)含內(nèi)容及圖片之版權(quán)均屬于原網(wǎng)站或作者本人，本公眾號(hào)對(duì)此不持立場(chǎng)，若發(fā)現(xiàn)有非故意侵權(quán)或轉(zhuǎn)載失當(dāng)之處，敬請(qǐng)隨時(shí)聯(lián)系我們進(jìn)行妥善處理！本文章原文鏈接：https://blog.csdn.net/netinside_/article/details/146341261

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來源:互聯(lián)網(wǎng)

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明