كشف باحثون أمنيون عن ثغرة حرجة في إطار Ollama، أحد أكثر الأطر استخداماً لتشغيل نماذج الذكاء الاصطناعي محلياً، قد تتيح لمهاجمين غير موثقين تسريب بيانات حساسة من ذاكرة الخوادم المعرضة للإنترنت أو المتاحة داخل الشبكات المحلية دون ضوابط وصول كافية.
أطلق باحثو Cyera على الثغرة، التي تحمل المعرف CVE-2026-7482، اسم Bleeding Llama. وتنشأ من قراءة خارج حدود الذاكرة في مسار تكميم النماذج داخل Ollama، وتحديداً عند التعامل مع ملفات GGUF المستخدمة لتخزين أوزان النماذج وبياناتها الوصفية ومعلومات المحلل اللغوي (Tokenizer).
خوادم مكشوفة وبيانات في الذاكرة
تتيح الثغرة، وفق الباحثين، رفع ملف معد خصيصاً إلى واجهة Ollama البرمجية، لدفع التطبيق لقراءة بيانات تتجاوز حدود المخزن المؤقت المخصص. وقد تشمل البيانات المسربة مطالبات المستخدمين، ورسائل المحادثات، ومطالبات النظام، ومتغيرات البيئة، ومفاتيح API، والرموز السرية، وأجزاء من الشيفرات أو العقود وبيانات العملاء التي عولجت عبر النماذج.
وتشير التقديرات الواردة في التقرير إلى وجود نحو 300 ألف خادم Ollama مكشوف على الإنترنت العام، إلى جانب عدد أكبر داخل الشبكات المحلية. ورغم أن Ollama مصمم أساساً للاستخدام المحلي ويرتبط افتراضياً بعنوان localhost، فإن بعض عمليات النشر تضبطه للاستماع على جميع واجهات الشبكة عبر العنوان 0.0.0.0، في حين لا يوفر التطبيق خاصية المصادقة بشكل افتراضي.
استغلال محدود الطلبات
يرتبط الخلل بطريقة تحميل ملفات GGUF؛ إذ يمكن لملف ضار أن يعلن عن حجم أكبر بكثير لأحد الموترات (Tensors) مقارنة بالبيانات الفعلية المتاحة، ما يؤدي إلى قراءة بيانات من الذاكرة الحيوية (Heap) خارج النطاق المقصود. وبعد ذلك، يمكن للمهاجم استخدام واجهة الدفع في Ollama لإخراج النموذج والبيانات المسربة المضمنة إلى خادم يسيطر عليه.
ويبرز هذا السيناريو خطراً أوسع في بيئات الذكاء الاصطناعي المؤسسية، حيث قد ينشر الموظفون أطر تشغيل النماذج أو وكلاء الذكاء الاصطناعي محلياً دون علم فرق الأمن، أو دون إدراجها في برامج إدارة الثغرات والأصول التقنية.
التحديث وتقليل سطح التعرض
أوصى الباحثون بتحديث Ollama إلى الإصدار 0.17.1 الذي يتضمن معالجة لهذه الثغرة. كما شددوا على ضرورة عدم تعريض خوادم Ollama للإنترنت من دون مرشحات وصول بحسب عناوين IP وجدران حماية، ووضع بوابة واجهة برمجة تطبيقات أو وكيل مصادقة أمام الخوادم التي تحتاج إلى إتاحة شبكية.
وفي حال كان خادم Ollama متاحاً عبر الإنترنت، أوصى الباحثون بالتعامل مع متغيرات البيئة والأسرار الموجودة في الذاكرة باعتبارها قد تعرضت للخطر، مع تدوير مفاتيح API والرموز وبيانات الاعتماد فوراً. كما ينبغي عزل الخوادم داخل الشبكات المحلية في قطاعات آمنة ومراقبة وجود هذه الأدوات ضمن برامج إدارة الثغرات.
