Tornar al blog
11 de maig del 20265 min de lectura

Vulnerabilitat crítica a Ollama: fuites de memòria remota i riscos per als LLM empresarials

Vulnerabilitat crítica a Ollama: fuites de memòria remota i riscos per als LLM empresarials

La intel·ligència artificial (IA) està transformant ràpidament el marc empresarial i impulsant la innovació i l’eficiència. Tot i això, amb aquesta adopció accelerada apareixen nous vectors d’amenaça que exigeixen vigilància constant i una gestió proactiva del risc. Recentment s’ha descobert una vulnerabilitat crítica a Ollama, una plataforma popular de codi obert per executar models de llenguatge grans (LLM) localment, que posa de manifest la complexitat i els reptes de seguretat inherents a les infraestructures d’IA.

CVE-2026-7482: la fuita de memòria «Bleeding Llama»

Investigadors de ciberseguretat han revelat una vulnerabilitat de lectura fora de límits (out-of-bounds read) a Ollama, identificada com a CVE-2026-7482 i batejada «Bleeding Llama» per Cyera. Aquesta falla, amb puntuació CVSS 9,1 (crítica), permet a un atacant remot sense autenticació filtrar la memòria completa del procés d’Ollama. S’estima que podria afectar més de 300.000 servidors exposats arreu del món, amb un risc significatiu per a les organitzacions que utilitzen Ollama en desplegaments de LLM.

Què implica una lectura fora de límits?

En termes senzills, es produeix quan un programa intenta llegir una ubicació de memòria més enllà dels límits assignats. Això pot exposar informació sensible que no hauria de ser accessible, perquè el programa llegeix dades arbitràries de la memòria adjacent.

En el cas d’Ollama, la vulnerabilitat rau en el carregador de models GGUF (GPT-Generated Unified Format), concretament a la funció WriteTo() durant la quantització, quan es crea un model a partir d’un fitxer GGUF via l’endpoint /api/create. Si un atacant envia un GGUF manipulat en què el desplaçament i la mida d’un tensor superen la longitud real del fitxer, el servidor llegeix més enllà del búfer assignat i es produeix la fuita.

Impacte d’una fuita de memòria a la infraestructura d’IA

Una explotació amb èxit de la CVE-2026-7482 pot tenir conseqüències greus per a la seguretat de les dades empresarials. La memòria del procés d’Ollama pot contenir informació confidencial, entre d’altres:

  • Variables d’entorn: configuracions del sistema que poden ser sensibles.
  • Claus API: credencials per accedir a serveis i recursos interns o externs.
  • Prompts de sistema: instruccions o dades internes que orienten el comportament dels LLM i poden revelar lògiques de negoci o secrets comercials.
  • Dades de converses d’usuaris concurrents: informació molt sensible que, si es filtra, pot implicar infraccions greus de privacitat i compliment normatiu.

Un atacant podria exfiltrar aquesta informació pujant l’artefacte del model resultant a un registre sota el seu control mitjançant /api/push. Tal com va indicar Dor Attias, investigador de seguretat a Cyera: «Un atacant pot aprendre pràcticament qualsevol cosa sobre l’organització a partir de la inferència de la seva IA: claus API, codi propietari, contractes amb clients i molt més.» A més, si Ollama està connectat a eines com Claude Code, l’impacte creix, perquè les sortides poden convergir al servidor d’Ollama i acabar en mans de l’atacant.

Altres vulnerabilitats a Ollama per a Windows: execució de codi persistent

A més de la fuita de memòria, investigadors de Striga han detallat dues vulnerabilitats addicionals al mecanisme d’actualització d’Ollama per a Windows que es poden encadenar per aconseguir execució de codi persistent.

Aquestes fallades, encara sense pedaç després de la divulgació el gener del 2026, afecten Ollama per a Windows de la 0.12.10 a la 0.17.5:

  • CVE-2026-42248 (CVSS: 7,7): absència de verificació de signatura. A diferència de macOS, el client de Windows no verifica la signatura del binari d’actualització abans de la instal·lació, cosa que obre la porta a la injecció de codi maliciós.
  • CVE-2026-42249 (CVSS: 7,7): recorregut de camí (path traversal). L’actualitzador crea la ruta local per al directori de preparació de l’instal·lador a partir de capçaleres HTTP de resposta sense sanejar-les adequadament, cosa que pot redirigir escriptures fora dels directoris previstos.

Combinades amb l’inici automàtic del client en iniciar sessió a Windows, permeten a un atacant amb control sobre el servidor d’actualitzacions executar codi arbitrari de manera persistent: shells inverses, robatori d’informació sensible (per exemple secrets del navegador, claus SSH) o desplegament de droppers per a més persistència.

Recomanacions i contramesures essencials

Protegir els desplegaments de LLM i la infraestructura subjacent és imperatiu. Accions clau:

  • Actualització immediata: assegureu instàncies d’Ollama a la versió 0.17.1 o posterior per a la CVE-2026-7482. Per a Windows, desactiveu les actualitzacions automàtiques i elimineu les dreceres d’Ollama de la carpeta d’inici (%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup) fins que hi hagi pedaços oficials per a les fallades de l’actualitzador.
  • Restricció d’accés a la xarxa: limiteu l’accés als servidors Ollama a IPs i ports estrictament necessaris; eviteu l’exposició directa a Internet quan sigui possible.
  • Auditoria d’instàncies exposades: identifiqueu i remedieu instàncies exposades a Internet o a xarxes no fiables.
  • Aïllament i segmentació: col·loqueu Ollama en segments dedicats amb regles de tallafoc estrictes per reduir el moviment lateral.
  • Autenticació i autorització: la API REST d’Ollama no incorpora autenticació per defecte; desplegueu un proxy d’autenticació o API gateway davant de totes les instàncies.
  • Enduriment del SO: apliqueu bones pràctiques a Linux i Windows (permisos, serveis innecessaris desactivats, configuracions segures).
  • Monitoratge continu: detecteu comportaments anòmals, connexions soscases i indicadors d’exfiltració vinculats als desplegaments de LLM.
  • Revisió periòdica dels desplegaments LLM: claus API, protecció de prompts i tractament de dades d’usuari.

ITCS VIP: seguretat de la IA i de la infraestructura

A ITCS VIP tractem la seguretat en entorns d’IA com una necessitat, no com un extra. Podem ajudar-vos a navegar l’ecosistema d’amenaces i protegir els actius més valuosos:

  • Enduriment i fortificació d’infraestructura: sistemes Linux i Windows alineats amb bones pràctiques i estàndards, reduint la superfície d’atac.
  • Auditories de IA privada i desplegaments LLM: avaluació de riscos, configuracions errònies i vectors específics del self-hosting amb eines com Ollama, incloent APIs, segregació de dades i injecció de prompts.
  • Consultoria de ciberseguretat per a infraestructura Linux: arquitectures segures i gestió integral del risc en entorns on sovint reposen els desplegaments d’IA.
  • API gateways i autenticació: disseny i desplegament de proxies i passarel·les per garantir que només el trànsit legítim arribi als vostres models.

Conclusió

Les vulnerabilitats d’Ollama recorden que, a mesura que la IA s’arrela a les operacions, la seguretat ha de ser prioritària en tot el cicle de vida. La resiliència i la protecció de dades no són opcionals: cal estratègia d’enduriment, auditoria i gestió rigorosa d’actualitzacions.

No espereu un incident. Protegiu la memòria dels processos i la integritat dels models. Contacteu amb ITCS VIP per a una avaluació alineada amb la vostra infraestructura d’IA.

Contexte editorial: cobertura addicional a The Hacker News.