Исследователи кибербезопасности обнаружили критическую неисправленную уязвимость в Ollama - популярной открытой платформе для локального запуска больших языковых моделей. Этот дефект безопасности, получивший идентификатор CVE-2026-5757, кроется в механизме квантования моделей и позволяет неаутентифицированному злоумышленнику похищать конфиденциальные данные сервера путём загрузки специально созданного вредоносного файла модели ИИ.
Платформа Ollama завоевала широкую популярность среди разработчиков и исследователей благодаря возможности развёртывания языковых моделей на собственном оборудовании без передачи данных сторонним облачным провайдерам. Однако обнаруженная уязвимость ставит под угрозу конфиденциальность любой организации, использующей данное решение. Особенность этого дефекта заключается в том, что официального исправления пока не существует.
Механизм эксплуатации и технические детали
Для повышения производительности и эффективности работы Ollama применяет квантование - процесс снижения числовой точности модели ИИ, позволяющий уменьшить её размер и ускорить вычисления. Однако исследователи выявили уязвимость выхода за границы памяти в механизме обработки файлов формата GGUF (GPT-Generated Unified Format), который используется для хранения квантованных моделей.
Когда злоумышленник загружает специально сконструированный файл GGUF и запускает процесс квантования, система вынужденно считывает данные за пределами безопасных границ памяти. Эта эксплуатация становится возможной благодаря сочетанию трёх факторов. Во-первых, механизм квантования слепо доверяет метаданным файла, предоставленным пользователем, не проверяя их соответствие фактическому размеру данных. Во-вторых, программное обеспечение использует небезопасную операцию работы с памятью в Go для создания среза данных, который простирается далеко в кучу приложения. В-третьих, система случайным образом записывает утёкшие данные в новый слой модели, позволяя злоумышленнику передать похищенную информацию на внешний сервер через API реестра Ollama.
Поскольку данная уязвимость предоставляет несанкционированный доступ к куче памяти сервера, последствия для организаций, размещающих такие модели, могут быть катастрофическими. Злоумышленники способны незаметно считывать и извлекать крайне чувствительные данные, которые временно хранятся в системной памяти в ходе нормальной работы.
Потенциальные последствия и риски
Такое нежелательное раскрытие данных может быстро привести к краже ключей API, приватной информации пользователей или объектов интеллектуальной собственности. Кроме того, вредоносные субъекты могут использовать этот несанкционированный доступ для получения более широкого контроля над сервером, компрометации внутренней сети и установления скрытого закрепления в системе без срабатывания стандартных сигналов тревоги.
Важно понимать, что в памяти сервера во время работы с моделями ИИ могут находиться разнообразные конфиденциальные сведения. Это не только учётные данные для доступа к внешним сервисам, но и промежуточные результаты обработки запросов пользователей, которые могут содержать персональные данные или коммерческую тайну. Особую опасность представляет тот факт, что уязвимость не требует аутентификации - любой, кто имеет доступ к сетевому интерфейсу Ollama, может попытаться её эксплуатации.
Обстоятельства обнаружения и текущий статус
Уязвимость была первоначально обнаружена исследователем безопасности Джереми Брауном, который использовал методы автоматизированного поиска дефектов с применением технологий ИИ. По состоянию на конец апреля 2026 года координационный центр CERT не смог связаться с разработчиком, что означает отсутствие официального исправления на данный момент.
Организации и разработчики, использующие Ollama, должны немедленно предпринять ручные шаги для защиты своих развёртываний ИИ от потенциальных атак. Ситуация осложняется тем, что открытый характер платформы и широкое распространение делают её привлекательной целью для злоумышленников. Между тем отсутствие возможности оперативно получить исправление от разработчика ставит администраторов перед сложным выбором: либо полностью отказываться от использования Ollama, либо внедрять компенсирующие меры защиты.
Рекомендации по защите
Для снижения риска эксплуатации администраторам следует ограничить или полностью отключить функциональность загрузки моделей на всех открытых серверах. Все развёртывания Ollama необходимо ограничить локальными, изолированными или строго контролируемыми сетевыми окружениями. Принимать, загружать и запускать модели ИИ следует исключительно из проверенных и надёжных источников. Кроме того, необходимо применять строгие средства контроля сетевых подключений для предотвращения несанкционированных внешних соединений и утечки данных.
Критический характер данной уязвимости требует от специалистов по информационной безопасности незамедлительных действий. В условиях отсутствия патча только ручные меры контроля могут предотвратить потенциальную компрометацию инфраструктуры. Организациям стоит пересмотреть политику использования решений для локального запуска моделей ИИ и временно ограничить их применение до появления официального исправления.
