آسیب‌پذیری Ollama و هشدار نسبت به ریسک فریم‌ورک‌های هوش مصنوعی با دسترسی نامحدود

آسیب‌پذیری Ollama بار دیگر نشان می‌دهد که فریم‌ورک‌های هوش مصنوعی (AI frameworks) بدون کنترل دسترسی و احراز هویت می‌توانند اطلاعات حساس کاربران را در معرض افشا قرار دهند. آسیب‌پذیری Ollama به مهاجمان اجازه می‌دهد حافظه پردازه سرورها را هدف قرار دهند و پیام‌ها، کلیدهای API و متغیر‌های محیطی (environment variables) را حتی از سرورهای لوکال و شبکه‌های داخلی استخراج کنند.

جزئیات آسیب‌پذیری Ollama

محققان شرکت Cyera یک آسیب‌پذیری بحرانی با شناسه CVE-2026-7482 را در Ollama شناسایی کرده‌اند. این فریم‌ورک محبوب امکان اجرای مدل‌های زبان بزرگ (LLM) را به‌صورت لوکال فراهم می‌کند و از طریق REST API در دسترس است.

این ضعف امنیتی ناشی از خواندن خارج از محدوده حافظه Heap (out-of-bounds heap read) در pipeline مربوط به quantization مدل است و مهاجمان را قادر می‌سازد به داده‌های خارج از محدوده مجاز حافظه دسترسی پیدا کنند.

این باگ که پژوهشگران Cyera آن را Bleeding Llama نامیده‌اند، باعث افشای حافظه پردازه و انتشار داده‌های حساس می‌شود. اوج اهمیت این موضوع زمانی آشکار می‌شود که بدانیم حدود 300 هزار سرور Ollama در اینترنت به‌صورت عمومی در دسترس هستند و شمار زیادی از نمونه‌های دیگر نیز در شبکه‌های داخلی سازمان‌ها فعال‌اند.

نحوه بهره‌برداری از آسیب‌پذیری Ollama در فایل‌های GGUF

این آسیب‌پذیری به فرآیند بارگذاری فایل‌های GGUF مربوط است؛ فرمتی که برای ذخیره وزن‌های مدل (model weights)، متادیتا و اطلاعات tokenizer در مدل‌های لوکال به‌کار می‌رود.

طبق گزارش محققان Cyera، مهاجم می‌تواند یک فایل GGUF دستکاری‌شده ایجاد کند که در آن، اندازه یک tensor بسیار بزرگ‌تر از مقدار واقعی اعلام شده باشد. در چنین شرایطی، نرم‌افزار Ollama هنگام پردازش فایل، فراتر از مرز بافر (buffer boundary) می‌خواند و باعث افشای بخشی از داده‌های ذخیره‌شده در حافظه Heap می‌شود.

نکته نگران‌کننده این است که برای بهره‌برداری از این ضعف، تنها سه درخواست API کافی است؛ موضوعی که بهره‌برداری از این ضعف را ساده و مقیاس‌پذیر می‌کند.

داده‌های افشاشده از طریق این آسیب‌پذیری

پیامدهای این ضعف محدود به خطا در اجرای مدل‌ها نیست. آسیب‌پذیری Ollama می‌تواند مستقیماً منجر به افشای داده‌های عملیاتی و محرمانه شود؛ داده‌هایی که اغلب در حافظه پردازه مدل‌های هوش مصنوعی ذخیره می‌شوند.

این ضعف امنیتی می‌تواند باعث افشای اطلاعات زیر شود:

• پرامپت‌ها و پیام‌های کاربران
• پرامپت‌های سیستم (system prompts) تمام مدل‌های در حال اجرا
• تاریخچه مکالمات تمام کاربران
• کلیدهای API، توکن‌ها و داده‌های ذخیره‌شده در متغیرهای محیطی
• کدهای اختصاصی ارسال‌شده برای پردازش توسط مدل‌ها
• داده‌های مشتریان، اسناد داخلی و قراردادهای بررسی‌شده توسط هوش مصنوعی

مهاجم پس از موفقیت در بهره‌برداری از این آسیب‌پذیری، می‌تواند داده‌های استخراج‌شده را از طریق Push API به سرور تحت کنترل خود منتقل کند.

چرا این ضعف امنیتی برای سازمان‌ها یک تهدید جدی است؟

در سال‌های اخیر، Ollama به یکی از ابزارهای بسیار محبوب برای اجرای مدل‌های هوش مصنوعی self-hosted تبدیل شده است. طبق گزارش Cyera، این پروژه بیش از 170 هزار ستاره در GitHub و بیش از 100 میلیون دانلود در Docker Hub دارد؛ آماری که نشان می‌دهد استفاده از آن محدود به محیط‌های آزمایشگاهی نیست و در سطح سازمانی نیز به طور گسترده به‌کار گرفته می‌شود.

ریسک اصلی از آنجا ناشی می‌شود که Ollama به‌صورت پیش‌فرض احراز هویت ارائه نمی‌دهد و در بسیاری از استقرارها روی تمام اینترفیس‌های شبکه (0.0.0.0) در دسترس قرار می‌گیرد. به بیان دیگر، اگر دسترسی با فایروال ، فیلتر IP یا پروکسی احراز هویت محدود نشده باشد، آسیب‌پذیری Ollama می‌تواند یک مسیر مستقیم برای افشای داده‌های حساس در زیرساخت هوش مصنوعی سازمان فراهم کند.

این هشدار محدود به سرورهای متصل به اینترنت نیست؛ حتی در شبکه‌های داخلی، در صورت عدم وجود تقسیم‌بندی شبکه مناسب (network segmentation)، فایروال داخلی یا کنترل دسترسی، سرورهای Ollama همچنان در معرض ریسک افشای اطلاعات قرار دارند.

راهکارهای مقابله با آسیب‌پذیری Ollama

کاربران برای رفع این آسیب‌پذیری باید در اسرع‌وقت Ollama را به نسخه 0.17.1 یا نسخه‌های جدیدتر به‌روزرسانی کنند؛ نسخه‌ای که شامل پچ رسمی این ضعف امنیتی است. با این حال، به‌روزرسانی به‌تنهایی کافی نیست و کاهش ریسک نیازمند رویکرد دفاعی چندلایه است.

راهکارهای کاهش ریسک شامل موارد زیر است:

• قرار دادن تمام نمونه‌های Ollama پشت پروکسی احراز هویت یا گیت‌وی API
• جلوگیری از انتشار مستقیم سرویس روی اینترنت عمومی
• اعمال فیلتر دسترسی IP و محدودسازی دسترسی از طریق فایروال
• ایزوله‌سازی سرورهای Ollama در بخش‌های امن شبکه (secure network segments)
• بازبینی دقیق پیکربندی و تنظیمات سرویس‌ها که توسط تیم‌های توسعه یا داده مستقر شده‌اند

شرکت Cyera تأکید کرده است که اگر سرور Ollama شما به اینترنت متصل بوده، باید فرض کنید متغیرهای محیطی و سایر اطلاعات محرمانه موجود در حافظه افشا شده‌اند. در چنین شرایطی، کلیدهای API، توکن‌ها و اطلاعات دسترسی باید فوراً تغییر کنند.

منابع